0X0 EAT表
在windows系统中,“库”是为了方便其他程序调用而集中包含相关的函数的文件(dll,sys).win32 API是最具有代表性的库。
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT表才能准确的求得从相应的库中导出函数的起始地址。
PE文件内的结构体(IMAGE_EXPORT_DIRECTORY)保存着导出信息,且PE文件中仅有一个用来说明库EAT的IMAGE_EXPORT_DIRECTORY结构体
0X01 IMAGE_EXPORT_DIRECTORY结构体
我们可以在PE文件头 IMAGE_EXPORT_DIRECTORY的位置,IMAGE_OPTIONAL_HEADER32.DataDirectory[0].VirtualAddress就是该结构体数组的起始地址。
IMAGE_EXPORT_DIRECTORY 结构体代码如下
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics; //保留 总是定义为0
DWORD TimeDateStamp; //文件生成时间
WORD MajorVersion; //主版本号 一般不赋值
WORD MinorVersion; //次版本号 一般不赋值
DWORD Name; //模块的真实名称
DWORD Base; //索引基数 加上序数就是函数地址数组的索引值
DWORD NumberOfFunctions; //地址表中个数
DWORD NumberOfNames; //名称表的个数
DWORD AddressOfFunctions; //输出函数地址的RVA
DWORD AddressOfNames; //输出函数名字的RVA
DWORD AddressOfNameOrdinals; //输出函数序号的RVA
} IMAGE_EXPORT_DIRECTORYM, *pIMAGE_EXPORT_DIRECTORY;
IMAGE_EXPORT_DIRECTORY 结构体的重要成员
| 项目 | 含义 |
|---|---|
| NumberOfFunctions | 实际Export函数的个数 |
| NumberOfNames | Export函数中具名函数的个数 |
| AddressOfFunctions | Export函数地址数组(数组元素个数=NumberOfFunctions) |
| AddressOfNames | 函数名称地址数组(数组元素个数=NumberOfNames) |
| AddressOfNameOrdinals | Ordinal地址数组(数组元素个数=NumberOfNames) |
下图是描述kernel32.dll文件的IMAGE_EXPORT_DIRECTORY 结构体与整个EAT结构
0x02 获取库函数的操作原理
从库中获取函数的API为GetProAddress()函数。该API引用EAT来获取指定API的地址,下面说明GetProAddress()函数的流程。
GetProAddress()操作原理
(1) 首先我们有一个要查找的函数名字fun_name
(2) 通过IMAGE_EXPORT_DIRECTORYM 获得AddressOfNames成员获取函数名称数组。通过比较(strcmp)字符串,查找出指定的函数名称,获取数组的索引值
(3) 通过IMAGE_EXPORT_DIRECTORYM 获得AddressOfNameOrdinals成员获取函数名称数组,将获取的数组索引值作为AddressOfNameOrdinals数组的下标获取相应的值ordinal
(4) 通过IMAGE_EXPORT_DIRECTORYM 获得AddressOfFunctions成员获取函数名称数组。并把ordinal作为AddressOfFunctions数组的下标,获取指定函数的地址
提示
对于没有函数名称的导出函数,可以通过Ordinal查找它们地址。从Ordinal值减去IMAGE_EXPORT_DIRECTORY.Base成员最后一个值,使用该值作为"函数地址数组"(AddressOfFunctions)的索引,即可查找到相应的函数地址。
0x03 使用user32.dll练习
1 查找EAT表的地址
通过PEview查看user32.dll RVA 3900 => RAW 2D00
2 查出来EAT表的RAW为 2D00
EAT结构体中的含义
| 名称 | 数据(RVA) | RAW |
|---|---|---|
| Characteristics | 0 | 0 |
| TimeDateStamp | 48025D7A | 0 |
| MajorVersion | 0000 | 0 |
| MinorVersion | 0000 | 0 |
| Name | 000055C0 | 49C0 |
| Base | 00000001 | 0 |
| NumberOfFunctions | 000002DC | 0 |
| NumberOfNames | 000002DC | 0 |
| AddressOfFunctions | 00003928 | 2D28 |
| AddressOfNames | 00004498 | 3898 |
| AddressOfNameOrdinals | 00005008 | 4408 |
3 查看函数名称组
AddressOfNames是一个 4个字节RVA组成的数组,AddressOfNameOrdinals是一个2个字节组成的数组,AddressOfFunctions 是由4个字节 函数地址组成的数组
我们查找第一个函数名的地址来演示整个流程 首先找到AddressOfNames 在文件中的首地址RAW 3898
RVA 55CB => RAW 49CB 转换成文件偏移
这个为一个函数,序号为0,下一步需要查找AddressOfNameOrdinals中索引为0中的数据
从数组中取出数据为零,则在AddressOfFunctions 数组查找下标为0的数组
RVA 00018673
用OllDbg查看user32.dll 看到 ImageBase=77D10000
所以该ActivateKeyboardLayout函数的实际地址为 77D10000+18673=77D28673
0x04 寻找函数地址示意图
