-
-
[原创]手查PE导出表
-
发表于: 2015-11-22 21:48
-
晚上无事 闲着也闲着 发帖怡情
首先我们准备工具:010editor ,
把需要分析的PE文件拖入,打开-模板-在线模板-下载EXETEMPLATE2.BT/EXETEMPLATE2.BT
保存-模板-打开模板-F5运行,此时,左边会出来一个小窗口,点击变量依顺序选择
IMAGE_EXPORT_DIRECTORY STRUCT【导出表,共40字节】
{
00 DWORD Characteristics ; 没用 保留值 恒为0
04 DWORD TimeDateStamp ;
08 WORD MajorVersion ; 主版本号
0A WORD MinorVersion ; 次版本号
0C DWORD Name ; 本PE文件名字
10 DWORD Base ; 序号基数
14 DWORD NumberOfFunctions ; 函数数量
18 DWORD NumberOfNames ; 函数名称数量
1C DWORD AddressOfFunctions ; 函数地址表的相对虚拟地址
20 DWORD AddressOfNames ; 函数名称表的相对虚拟地址
24 DWORD AddressOfNameOrdinals ; 序号表的相对虚拟地址
};IMAGE_EXPORT_DIRECTORY ENDS
- struct IMAGE_NT_HEADERS nt_headers[NT头]
- struct IMAGE_OPTIONAL_HEADER32 OptionalHeader[可选头]
- struct IMAGE_DATA_DIRECTORIES DataDirectory[目录表]
- struct DATA_DIR Export[导出表]
- struct IMAGE_SECTION_HEADER sections_table[0] [.textbss]
- struct IMAGE_SECTION_HEADER sections_table[1] [.text]
- struct IMAGE_SECTION_HEADER sections_table[2] [.rdata]
- struct IMAGE_SECTION_HEADER sections_table[3] [.data]
- struct IMAGE_SECTION_HEADER sections_table[4] [.idata]
- struct IMAGE_SECTION_HEADER sections_table[5] [.rsrc]
- struct IMAGE_SECTION_HEADER sections_table[6] [.reloc]
- 0240F8-20000+ee00=12EF8
- 024100-20000+EE00=12F00
- 024108-20000+EE00=12F08
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
其实我也不怎么喜欢 因为有现成的工具 但是我查了后 发现对PE文件结构有更深一步的理解
从“要这样”“要这样”到“为什么是这样”“为什么要这样” ---当然了 这是小菜的感受。。。。。。。 
|
|
|
|
|
|
有空肯定 哈哈
|
|
|
|
|
|
|
|
|
|
|
|
|
