相关知识点
导出表:
导出表结构分析
1、如何定位导出表:
数据目录项的第一个结构,就是导出表.
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
VirtualAddress 导出表的RVA
Size 导出表大小
2、导出表结构
上面的结构,只是说明导出表在哪里,有多大,并不是真正的导出表.
如何在FileBuffer中找到这个结构呢?在VirtualAddress中存储的是RVA,如果想在FileBuffer中定位
必须要先将该RVA转换成FOA.
真正的导出表结构如下:
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics; // 未使用
DWORD TimeDateStamp; // 时间戳
WORD MajorVersion; // 未使用
WORD MinorVersion; // 未使用
DWORD Name; // 指向该导出表文件名字符串
DWORD Base; // 导出函数起始序号
DWORD NumberOfFunctions; // 所有导出函数的个数
DWORD NumberOfNames; // 以函数名字导出的函数个数
DWORD AddressOfFunctions; // 导出函数地址表RVA
DWORD AddressOfNames; // 导出函数名称表RVA
DWORD AddressOfNameOrdinals; // 导出函数序号表RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
导出函数两种方式:
(1)名字导出 (2)序号导出
下面是重要参数选项:
AddressOfFunctions AddressOfNameOrdinals AddressOfNames
0 Fn1地址 0 3 0 0x12345678
1 Fn2地址 1 1 1 0x12345678
2 Fn3地址 2 4 2 0x12345678
3 Fn4地址 3 7 3 0x12345678
4 Fn5地址 4 8 4 0x12345678
Fn6地址 6 0x12345678
Fn7地址 7 0x12345678
.. 0x12345678
.. 0x12345678
.. 0x12345678
.. 0x12345678
.. 0x12345678
Fnx地址 N 0x12345678
宽度4 宽度2 宽度4
数量:NumberOfFunctions 数量:NumberOfNames 数量:NumberOfNames
3、AddressOfFunctions说明:
该表中元素宽度为4个字节
该表中存储所有导出函数的地址
该表中个数由NumberOfFunctions决定
该表项中的值是RVA, 加上ImageBase才是函数真正的地址
定位:
IMAGE_EXPORT_DIRECTORY->AddressOfFunctions 中存储的是该表的RVA 需要先转换成FOA
4、AddressOfNames说明:
该表中元素宽度为4个字节
该表中存储所有以名字导出函数的名字的RVA
该表项中的值是RVA, 指向函数真正的名称
AddressOfNames 特别说明:
0x12345678 1、函数的真正的名字在文件中位置是不确定的
0x12345678 DXXXXXXXXX
0x12345678 2、但函数名称表中是按名字排序的
0x12345678
0x12345678 AXXXXXXXXXXX 也就是说,A开头的函数在AddressOfNames排在最前面.
0x12345678
0x12345678 CXXXXXX 但AXXXXXX这个真正的名字,可能排在BXXXXX后面
0x12345678
0x12345678 BXXXXXXXXX 3、如果想打印名字,要先将AddressOfNames转换为FOA
0x12345678
0x12345678
0x12345678
0x12345678
5、AddressOfNameOrdinals
该表中元素宽度为2个字节
该表中存储的内容 + Base = 函数的导出序号
总结:
为什么要分成3张表?
1.函数导出的个数与函数名的个数未必一样.所以要将函数地址表和函数名称表分开.
2.函数地址表是不是一定大于函数名称表?
未必,一个相同的函数地址,可能有多个不同的名字.
3.如何根据函数的名字获取一个函数的地址?
函数VA = ImageBase + 0x1234
函数名称表 函数序号表 函数地址表
4.如何根据函数的导出序号获取一个函数的地址?
假设导出序号是10
Base 的值是5
函数地址:10 - 5 = 5
找出下标为5的函数地址即可;
课后练习
1.编写程序打印所有的导出表信息;
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics; // 未使用
DWORD TimeDateStamp; // 时间戳
WORD MajorVersion; // 未使用
WORD MinorVersion; // 未使用
DWORD Name; // 指向该导出表文件名字符串
DWORD Base; // 导出函数起始序号
DWORD NumberOfFunctions; // 所有导出函数的个数
DWORD NumberOfNames; // 以函数名字导出的函数个数
DWORD AddressOfFunctions; // 导出函数地址表RVA
DWORD AddressOfNames; // 导出函数名称表RVA
DWORD AddressOfNameOrdinals; // 导出函数序号表RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空间,
之所以不是物理空间是因为数据在内存中的位置经常在变,这样既可以节约内存开支又可以避开错误的内存位置。
这个地址空间的大小为4G,但其中供程序装载的空间只有2G而且还是低2G空间,高2G空间则被用于装载内核DLL文件,
所以也被称作内核空间。
文件映射:PE文件在磁盘上的状态和在内存中的状态是不一样的,我们把PE文件在磁盘上的状态称作FileBuffer,
在内存中的状态称为ImageBuffer。当PE文件通过装载器装入内存是会经过“拉伸”的过程,
所以它在FileBuffer状态下和ImageBuffer状态下的大小是不一样的;
VA:英文全称是Virual Address,简称VA,中文意思是虚拟地址。指的是文件被载入虚拟空间后的地址。
ImageBase:中文意思是基址,指的是程序在虚拟空间中被装载的位置。
RVA:英文全称是Relative Virual Address,简称RVA,中文意思是相对虚拟地址。
可以理解为文件被装载到虚拟空间(拉伸)后先对于基址的偏移地址。
计算方式:RVA = VA(虚拟地址) - ImageBase(基址)。它的对齐方式一般是以1000h为单位在虚拟空间中对齐的(传说中的4K对齐),
具体对齐需要参照IMAGE_OPTIONAL_HEADER32中的SectionAlignment成员;
FOA:英文全称是File Offset Address,简称FOA,中文意思是文件偏移地址。
可以理解为文件在磁盘上存放时相对于文件开头的偏移地址。它的对齐方式一般是以200h为单位在硬盘中对齐的(512对齐),
具体对齐需要参照IMAGE_OPTIONAL_HEADER32中的FileAlignment成员;
下面是判断RVA和FOA的计算方法;
<1> 得到RVA的值,RVA=内存地址-ImageBase(ImageBase是IMAGE_OPTION_HEADER中的成员);
<2> 比较RVA与SizeofHeaders的大小,判断RVA是否位于PE头中,如果是的话,FOA=RVA,(SizeofHeaders是IMAGE_OPTION_HEADER中的成员);
<3> 判断RVA位于哪个节,
RVA >= 节.VirtualAddress
RVA <= 节.VirtualAddress + 当前节内存对齐后的大小
差值 = RVA - 节.VirtualAddress
<4> FOA = 节.PointerToRawData + 差值
总结:
总体来说,首先就是要判断某一个内存地址是否是在SizeOfHeaders里面,如果是,那么RVA=FOA,因为SizeOfHeaders在拉伸前后不变;
而如果不在SizeOfHeaders,里面那么就要判断这个内地址落在哪个节的范围,然后减去落在这个节VirtualAddress的地址,得到她们;
的差值,将得到的这个差值加上这个节中对应在文件中偏移的地址(PointerToRawData)结果就是FOA;
实例计算:
1.判断不带ImageBase地址0x00051EC0在哪个节里面;
2.通过计算查找,发现0x00051EC0是落在第二个节里面,因为:VirtualAddress + VirtualSize > 上面不带ImageBase的地址;
第二个节对应的VirtualAddress和VirtuallSIze 0x00046000+0x0000D74D=0x0005374D > 0x00051EC0;
3.确认在哪个节里面之后就可以根据上面的总结计算,下面是导出表给出的VirtualAddress地址加上ImageBase然后减去ImageBase;
对应的距离,刚好就是0x00051EC0
RVA = 0x00051EC0 + 0x00400000 - 0x00400000 = 0x00051EC0;
4.计算出她们之间的差值
差值 = 0x00051EC0 - 0x00046000 = 0x0000BEC0;
5.计算FOA的值
FOA = 对应节的PointerToRawData + 差值
FOA = 0x00046000 + 0x0000BEC0 = 0x00051EC0;
注意:这里的0x00046000是因为此程序中节里面的PointerToRawData=VirtualAddress=0x00046000;
2.GetFunctionAddrByName(FileBuffer指针,函数名指针)
3.GetFunctionAddrByOrdinals(FileBuffer指针,函数名导出序号)
上面计算FOA的过程验证
验证方式是使用winhex打开存储在硬盘位置的ipmsg.exe和意见打开的ipmsg.exe程序,找到其对应的导出表的VirtualAddress地址;