再读PE(2)

先看一下输入表结构:

typedef struct _IMAGE_IMPORT_DESCRIPTOR

{

union

{

 DWORD   Characteristics; //这个union子结构只是给OriginalFirstThunk添了个别名

 DWORDOriginalFirstThunk;

};

DWORD   TimeDateStamp;  

DWORD   ForwarderChain;

DWORD   Name;  //含有指向DLL名字的RVA,即指向DLL名字的指针

DWORD   FirstThunk;  

} IMAGE_IMPORT_DESCRIPTOR;

输入表里边有两个结构很重要已做标记、、

OriginalFirstThunk是一个RVA这个RVA指向一个数组IMAGE_THUNK_DATA

这个数组是这样的一个DWORD类型的集合联合体、、

typedef struct _IMAGE_THUNK_DATA32 {

   union {

       PBYTE  ForwarderString;

       PDWORD Function;

       DWORD Ordinal;

       PIMAGE_IMPORT_BY_NAME  AddressOfData;

   } u1;

} IMAGE_THUNK_DATA32;

一般解释为是一个RVA指向这个结构IMAGE_IMPORT_BY_NAME注意不是数组只是一个结构他真正包含 引入函数的相关信息

typedef struct _IMAGE_IMPORT_BY_NAME {

   WORD    Hint;本函数在其DLL的引出表中的索引号、一些连接器将此值设为0。

   BYTE    Name[1];   有引入函数的函数名

} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

这个数组IMAGE_THUNK_DATA结束的标志就是全0、、

也就是说引入多少函数,就有多少IMAGE_THUNK_DATA结构、、引入多少DLL就有多少引入表结构、、

现在说FirstThunk、、、

FirstThunk与OriginalFirstThunk相似,它也包含指向一个IMAGE_THUNK_DATA结构数组的RVA(当然这是另外一个IMAGE_THUNK_DATA数组)。

为什么会有两个一模一样的数组?是这样的、、

当PE文件被装载到内存时,PE装载器将查找IMAGE_THUNK_DATA

和IMAGE_IMPORT_BY_NAME这些结构数组,以此决定引入函数的地址。然后用引入函数真实地址来替代由FirstThunk指向的IMAGE_THUNK_DATA数组里的元素值。

由OriginalFirstThunk指向的IMAGE_THUNK_DATA数组始终不会改变,所以若还反过头来查找引入函数名,PE装载器还能找到、、

上边说的是如果函数是由函数名引入的情况 、、

有些情况一些函数仅由序数引出,也就是说不能用函数名来调用它们、只能用它们的位置来调用。此时,调用者模块中就不存在该函数的IMAGE_IMPORT_BY_NAME结构。

这种情况下、这么解释分析、、

这种函数的IMAGE_THUNK_DATA值的低位字指示函数序数而最高二进位(MSB)为1。例 如果一个函数只由序数引出且其序数是1234h

那么对应该函数的IMAGE_THUNK_DATA值是80001234h。

Microsoft提供了一个常量来测试dword值的MSB位,就是IMAGE_ORDINAL_FLAG32,其值为80000000h。

也就是说当我们要循环遍历导入函数的时候先判断一下  IMAGE_THUNK_DATA的最高二进制位是否为1  再做定夺、、、

好了基本路线有了部分代码如下:

while (NULL != IMPORT->OriginalFirstThunk)

{   // OriginalFirstThunk为空代表引入表结束一般可以这样作为判断条件

  //有的时候他就是为空但输入表也是有的、、

//若OriginalFirstThunk为0,就改用FirstThunk值不过这样也得不到函数的名字只//是对应的RVA这里也用FisrtThunk去得到引入函数的RVA、、

LPDWORDpOriginalFirstThunk= (LPDWORD)(IMPORT->OriginalFirstThunk - SECRVA +SECVA +pFileAddr);  

//将OriginalFirstThunk代表的RVA  转换为RAW

//此时pOriginalFirstThunk就指向IMAGE_THUNK_DATA结构它加加就是

//IMAGE_THUNK_DATA数组的下一个元素   四个字节嘛、、记住这里的用法、、

LPDWORD FirstThunk =(LPDWORD)(IMPORT->FirstThunk )

//这是每个存放API的RVA下边则是存放API的  RAW

//LPDWORD RAW=(LPDWORD)(IMPORT->FirstThunk- SECRVA +SECVA +pFileAddr )

    while(*pOriginalFirstThunk)

{

    if (*pOriginalFirstThunk & IMAGE_ORDINAL_FLAG32)

{

    DWORD Hint = (*pOriginalFirstThunk)&0x7fffffff;  //取低位、、

    printf("序号引入= = = %x\n",Hint);

}

else

{

    PIMAGE_IMPORT_BY_NAME NAME =

                         PIMAGE_IMPORT_BY_NAME(*pOriginalFirstThunk - SECRVA +SECVA +(DWORD)pFileAddr);

    printf("HINT = %x\n",NAME->Hint);

    printf("NAME = %s\n",NAME->Name);

}

pOriginalFirstThunk++;

FirstThunk++;

}

IMPORT++; }

}

当PE文件加载到内存时FirstThunk的内容就变为真正的API的地址了、

再看导出表结构、、

typedef struct _IMAGE_EXPORT_DIRECTORY {

   DWORD   Characteristics;

   DWORD   TimeDateStamp;

   WORD    MajorVersion;

   WORD    MinorVersion;

   DWORD   Name;

   DWORD   Base;

   DWORD   NumberOfFunctions;

   DWORD   NumberOfNames;

   DWORD   AddressOfFunctions;     // RVA from base of image

   DWORD   AddressOfNames;        // RVA from base of image

   DWORD   AddressOfNameOrdinals;  // RVA from base of image

} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;


导出表的概念:

输出函数是用来给其他程序使用的。其他程序如果知道了某个输出函数的入口地址(就是实现这个函数功能的代码开始的地方),就可以转到那里去执行。一个PE文件中,如果有有输出函数,一般都不是一个。所以有一个数组来保存每个输出函数的入口地址。

在PE文件中,提供两种方法,来找到某个输出函数的入口地址。


第一种方法是通过入口地址数组序号,就是说知道是入口地址数组中的第几个元素,这样就可以得到里面的入口地址。

第二种方法是通过函数名,通过比较函数名,然后得到对应该函数名的入口地址数组的序号,从而得到该函数名的对应函数的入口地址。


导出表的遍历比较简单、、

因为导出函数的地址的RVA有 导出函数的名字的RVA有导出函数的序号的RVA有、、

直接遍历即可、、

LPDWORD DLLNAME = (LPDWORD)(EXPORT->Name- SECRVA + SECVA +pFileAddr);

printf("EXPORT  DLLNAME =======  %s\n\n\n",DLLNAME);//dll名字的输出

LPDWORD FUNCADDR = (LPDWORD)(EXPORT->AddressOfFunctions- SECRVA + SECVA +pFileAddr);//函数RVA的RAW

LPWORD ORDADDR = (LPWORD)(EXPORT->AddressOfNameOrdinals- SECRVA + SECVA +pFileAddr);//函数序号索引的RAW

LPDWORD FUNCNAME = (LPDWORD)(EXPORT->AddressOfNames- SECRVA + SECVA +pFileAddr);//函数名字的RAW

for(DWORD i=0; i<EXPORT->NumberOfFunctions; i++)

{

LPDWORD REALFUNCNAME=(LPDWORD)(*FUNCNAME-SECRVA + SECVA +pFileAddr);//函数名字的输出 再转换一次才是名字的RAW

、、

、、

、、 输出即可、、

FUNCNAME++;  //数组加加、、

ORDADDR++;

FUNCADDR++;

}

}

完、


你可能感兴趣的:(代码,pe,输入表)