之前的笔记搬运
0x1 导出表结构
导出表位于PE文件中的数据目录数组下标为0的位置
1 | IMAGE_EXPORT_DIRECTORY STRUCT【导出表,共40字节】 |
重要字段解释:
Name:一个RVA 值,指向一个定义了模块名称的字符串。如Kernel32.dll ,User32.dll等
Base: 导出函数序号的起始值,将AddressOfFunctions字段指向的入口地址表的索引号加上这个起始值就是对应函数的导出 序号。假如Base
字段的值为x,那么入口地址表指定的第1个导出函数的序号就是x;第2个导出函数的序号就是x+1。总之,一个导出函数的导出序号等
于Base 字段的值加上其在入口地址表中的位置索引值, 如果没有序号导出, 默认为1
NumberOfFunctions:文件中包含的导出函数的总数。
NumberOfNames:以名称导出的函数数量
AddressOfFunctions:一个RVA值,指向包含全部导出函数入口地址的双字数组。数组中的每一项是一个RVA值,数组的长度等于NumberOfFunctions 字段的值。
AddressOfNames: 一个RVA值,指向函数名字符串地址的双字数组。数组中的每一项是一个RVA值,数组的长度等于NumberOfFunctions 字段的值。
AddressOfNameOrdinals: 一个WORD数组, 存放的的是AddressOfFunctions的下标,
此数组下标与AddressOfNames的下标一一对应,这样函数名称表与函数入口地址就可以通过这张表关联起来
0x2 Windows 装载器的工作步骤
从序号查找函数入口地址
1.定位到PE 文件头
2.从PE 文件头中的 IMAGE_OPTIONAL_HEADER32结构中取出数据目录表,并从第一个数据目录中得到导出表的RVA
3.从导出表的 Base 字段得到起始序号
4.将需要查找的导出序号减去起始序号,得到函数在入口地址表中的索引
5.检测索引值是否大于导出表的 NumberOfFunctions字段的值,如果大于后者的话,说明输入的序号是无效的
6.用这个索引值在 AddressOfFunctions字段指向的导出函数入口地址表中取出相应的项目,这就是函数入口地址的RVA值,当函数被装入内存的时候,这个RVA
值加上模块实际装入的基地址,就得到了函数真正的入口地址
从函数名称查找入口地址
1.最初的步骤是一样的,那就是首先得到导出表的地址
2.从导出表的 NumberOfNames字段得到已命名函数的总数,并以这个数字作为循环的次数来构造一个循环
3.从 AddressOfNames字段指向得到的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名相比较,如果没有任何一个函数名是符合的,表示文件中没有指定名称的函数
4.如果某一项定义的函数名与要查找的函数名符合,那么记下这个函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals指向的数组中以同样的索引值取出数组项的值,我们这里假设这个值是x
5.最后,以 x 值作为索引值,在 AddressOfFunctions字段指向的函数入口地址表中获取的 RVA 就是函数的入口地址
6.还有一种特殊的情况就是获取到的函数指针是指向一个字符串, 其格式为:
dll名称.另一个函数名, 如 NTDLL.RtlFreeHeap,这样的情况说明这个函数是一个转发函数,需要自己在LoadLibrary一次转发的dll和递归调用一次自己的Getprocaddrees来获取真正的函数指针**
