取PE文件的引入表和导出表

直接上代码（这里列出C++和Delphi的代码），Delphi代码中包含导入及导出文件和函数列表，PE结构可参阅资料，很多很详细，需要注意的是，本例中是映射到内存，不是通过PE装载器装入的，所以对于节的RVA地址需要转换成为文件偏移地址。

Delphi代码

[delphi] view plain copy

unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ComCtrls;
type
//导入表元素结构
TImageImportDiscriptor = packed record
OriginalFirstThunk: DWORD;
DataTimpStamp: DWORD;
ForwardChain: DWORD;
DLLName: DWORD;
FirstThunk: DWORD;
end;
PImageImportDiscriptor = ^TImageImportDiscriptor;
//导出表元素结构
PImageExportDirectory = ^TImageExportDirectory;
TImageExportDirectory = packed record
Characteristics: DWORD;
TimeDateStamp: DWORD;
MajorVersion: WORD;
MinorVersion: WORD;
Name: DWORD;
Base: DWORD;
NumberOfFunctions: DWORD;
NumberOfNames: DWORD;
AddressOfFunctions: DWORD;
AddressOfNames: DWORD;
AddressOfNameOrdinals: DWORD;
end;
//函数名结构
TImportByName = packed record
proHint: Word;
proName: array [0..1] of char;
end;
PImportByName = ^TImportByName;
TForm1 = class(TForm)
OpenDialog1: TOpenDialog;
Button1: TButton;
TreeView1: TTreeView;
Label1: TLabel;
procedure Button1Click(Sender: TObject);
private
{ Private declarations }
procedure GetList(filename:string);
{导入列表}
procedure GetImportList(pBaseAddress:Pointer;ntHeader:PImageNtHeaders);
{导出列表}
procedure GetExportList(pBaseAddress:Pointer;ntHeader:PImageNtHeaders);
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
{ TForm1 }
procedure TForm1.GetList(filename: string);
var
fileHandle:THandle;
fileMap:THandle;
pBaseAddress:Pointer;
dosHeader: PImageDosHeader;
ntHeader: PImageNtHeaders;
begin
TreeView1.Items.Clear;
try
//打开文件
fileHandle := CreateFile(PChar(filename),GENERIC_READ,FILE_SHARE_READ,nil,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
if fileHandle = INVALID_HANDLE_VALUE then
begin
ShowMessage(‘文件打开失败！‘);
Exit;
end;
//创建内存映射
fileMap := CreateFileMapping(fileHandle,nil,PAGE_READONLY,0,0,nil);
if fileMap = 0 then
begin
ShowMessage(‘创建内存映射失败！‘);
Exit;
end;
//映射到当前进程，pBaseAddress是基址
pBaseAddress := MapViewOfFile(fileMap,FILE_MAP_READ,0,0,0);
if pBaseAddress = nil then
begin
ShowMessage(‘获取地址失败！‘);
Exit;
end;
//获取Dos信息头部结构数据
dosHeader := pImageDosHeader(LongInt(pBaseAddress));
//判断Dos标识
if dosHeader.e_magic <> IMAGE_DOS_SIGNATURE then
begin
ShowMessage(‘不可识别的文件格式！‘);
Exit;
end;
//获取NT信息头部结构数据，IsBadReadPtr判断指针是否可读，ntHeader.Signature是NT标识
ntHeader := pImageNtHeaders(LongInt(pBaseAddress)+dosHeader._lfanew);
if (IsBadReadPtr(ntHeader,SizeOf(TImageNtHeaders))) or
(ntHeader.Signature <> IMAGE_NT_SIGNATURE) then
begin
ShowMessage(‘不是有效地Win32程序！‘);
Exit;
end;
GetImportList(pBaseAddress,ntHeader);
GetExportList(pBaseAddress,ntHeader);
finally
UnmapViewOfFile(pBaseAddress);
CloseHandle(fileMap);
CloseHandle(fileHandle);
end;
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
if OpenDialog1.Execute then
begin
Label1.Caption := ‘以下是‘+OpenDialog1.FileName+‘的导入及导出表‘;
GetList(OpenDialog1.FileName);
end;
end;
procedure TForm1.GetExportList(pBaseAddress: Pointer; ntHeader: PImageNtHeaders);
var
imageEntry: PImageExportDirectory;
sectionHeader: PImageSectionHeader;
importbyname: PImportByName;
proEntry:PDWORD;
proTemp:PWORD;
rva,frva: DWORD;
dllname: string;
i,j:integer;
node:TTreeNode;
s:string;
pname:PChar;
begin
rva := ntHeader.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
if rva = 0 then Exit;
//定位到第一个节的地址
sectionHeader := PImageSectionHeader(LongInt(ntHeader)+SizeOf(TImageNtHeaders));
//ntHeader^.FileHeader.NumberOfSections为节的数量，此处循环，找到引入表的节
for i := 0 to ntHeader^.FileHeader.NumberOfSections - 1 do
begin
//IMAGE_DIRECTORY_ENTRY_IMPORT，引入表，检查rva是否落在节内
if ( rva >= LongInt(sectionHeader.VirtualAddress)) and (rva<LongInt(sectionHeader.VirtualAddress+sectionHeader.Misc.VirtualSize)) then
begin
Break;
end;
//没找到，那么增加SizeOf(TImageSectionHeader)字节数，指向下一个节
Inc(sectionHeader);
end;
node := TreeView1.Items.Add(nil,‘导出函数表‘);
frva := sectionHeader.VirtualAddress - sectionHeader.PointerToRawData;
//导出表入口
imageEntry := PImageExportDirectory(LongInt(pBaseAddress)+rva-frva);
proEntry := PDWord(LongInt(pBaseAddress)+imageEntry.AddressOfFunctions-frva);
pname := PChar(LongInt(pBaseAddress)+imageEntry.Name-frva);
for i := 0 to imageEntry.NumberOfFunctions - 1 do
begin
if proEntry^ = 0 then Continue;
proTemp := PWORD(LongInt(pBaseAddress)+LongInt(imageEntry.AddressOfNameOrdinals)-frva);
for j := 0 to imageEntry.NumberOfNames - 1 do
begin
if proTemp^ = i then
begin
s := ‘‘;
while True do
begin
if pname^=#0 then Break;
Inc(pname);
end;
while True do
begin
if (pname-1)^=#0 then
begin
s:=Format(‘%s‘, [pname]);
Break;
end;
Inc(pname);
end;
end;
Inc(proTemp);
end;
TreeView1.Items.AddChild(node,s);
Inc(proEntry);
end;
end;
procedure TForm1.GetImportList(pBaseAddress: Pointer; ntHeader: PImageNtHeaders);
var
imageEntry: PImageImportDiscriptor;
sectionHeader: PImageSectionHeader;
importbyname: PImportByName;
proEntry:PDWORD;
rva,frva: DWORD;
dllname: string;
i:integer;
node:TTreeNode;
begin
rva := ntHeader.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
if rva = 0 then Exit;
//定位到第一个节的地址
sectionHeader := PImageSectionHeader(LongInt(ntHeader)+SizeOf(TImageNtHeaders));
//ntHeader^.FileHeader.NumberOfSections为节的数量，此处循环，找到引入表的节
for i := 0 to ntHeader^.FileHeader.NumberOfSections - 1 do
begin
//IMAGE_DIRECTORY_ENTRY_IMPORT，引入表，检查rva是否落在节内
if ( rva >= LongInt(sectionHeader.VirtualAddress)) and (rva<LongInt(sectionHeader.VirtualAddress+sectionHeader.Misc.VirtualSize)) then
begin
Break;
end;
//没找到，那么增加SizeOf(TImageSectionHeader)字节数，指向下一个节
Inc(sectionHeader);
end;
frva := sectionHeader.VirtualAddress - sectionHeader.PointerToRawData;
TreeView1.Items.Add(nil,‘导入函数表‘);
//引入表入口
imageEntry := PImageImportDiscriptor(LongInt(pBaseAddress)+rva-frva);
//加载的DLL的名称，这里是RVA地址，需要转换成文件偏移地址，因为我们不是通过PE加载器加载，而是映射到内存
while imageEntry.DLLName <> 0 do
begin
dllname := PChar(LongInt(pBaseAddress)+imageEntry.DLLName-frva);
node := TreeView1.Items.AddChild(TreeView1.Items[0],dllname);
if imageEntry.OriginalFirstThunk <> 0 then
proEntry := PDWord(LongInt(pBaseAddress)+imageEntry.OriginalFirstThunk-frva)
else
proEntry := PDWord(LongInt(pBaseAddress)+imageEntry.FirstThunk-frva);
while proEntry^ <> 0 do
begin
if (proEntry^ and $80000000) <> 0 then
TreeView1.Items.AddChild(node,Format(‘函数编号：%-15d‘,[proEntry^ and $7FFFFFFF]))
else
begin
importbyname := PImportByName(LongInt(pBaseAddress)+proEntry^-frva);
TreeView1.Items.AddChild(node,Format(‘函数名称:%-15s‘,[importbyname.proName]));
end;
Inc(proEntry);
end;
//继续读取
Inc(imageEntry);
end;
end;
end.

C++代码

[cpp] view plain copy

#include<string>
#include<windows.h>
void GetImportDllList(void)
{
IMAGE_IMPORT_DESCRIPTOR* importEntry = 0;
IMAGE_SECTION_HEADER* sectionHeader = 0;
char* filename = "c://test.exe";
//打开文件
HANDLE hfile = CreateFileA(filename,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
if (hfile == INVALID_HANDLE_VALUE)
{
printf("%s","文件打开失败！");
return;
}
//创建内存映射
HANDLE hmap = CreateFileMapping(hfile,NULL,PAGE_READONLY,0,0,NULL);
if (hmap == 0)
{
printf("%s","创建内存映射失败！");
return;
}
//映射到当前进程，pBaseAddress是基址
HANDLE pBaseAddress = MapViewOfFile(hmap,FILE_MAP_READ,0,0,0);
if (!pBaseAddress)
{
printf("%s","获取地址失败！");
return;
}
//获取Dos信息头部结构数据
IMAGE_DOS_HEADER* dosHeader = (IMAGE_DOS_HEADER*)pBaseAddress;
//判断Dos标识
if (dosHeader->e_magic != IMAGE_DOS_SIGNATURE)
{
printf("%s","不可识别的文件格式！");
return;
}
//获取NT信息头部结构数据，IsBadReadPtr判断指针是否可读，ntHeader->Signature是NT标识
IMAGE_NT_HEADERS* ntHeader = (IMAGE_NT_HEADERS*)((DWORD)pBaseAddress+dosHeader->e_lfanew);
if (ntHeader->Signature != IMAGE_NT_SIGNATURE)
{
printf("%s","不是有效地Win32程序！");
return;
}
//定位到第一个节的地址
sectionHeader = (IMAGE_SECTION_HEADER*)((DWORD)ntHeader+sizeof(IMAGE_NT_HEADERS));
//ntHeader->FileHeader.NumberOfSections为节的数量，此处循环，找到引入表的节
for (int i=0;i<ntHeader->FileHeader.NumberOfSections;i++)
{
//IMAGE_DIRECTORY_ENTRY_IMPORT，引入表
if (sectionHeader->VirtualAddress == ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)
{
break;
}
//没找到，那么增加SizeOf(IMAGE_SECTION_HEADER)字节数，指向下一个节
sectionHeader++;
}
//引入表入口
importEntry = (IMAGE_IMPORT_DESCRIPTOR*)((DWORD)pBaseAddress+sectionHeader->PointerToRawData);
printf("下面是%s的引入文件/n",filename);
//加载的DLL的名称，这里是RVA地址，需要转换成文件偏移地址，因为我们不是通过PE加载器加载，而是映射到内存
while (importEntry->Name != 0)
{
DWORD offset = (DWORD)pBaseAddress+importEntry->Name-(sectionHeader->VirtualAddress - sectionHeader->PointerToRawData);
char* s = (char*)offset;
printf("%s/n",s);
//继续读取
importEntry++;
}
UnmapViewOfFile(pBaseAddress);
CloseHandle(hmap);
CloseHandle(hfile);
}
int main()
{
GetImportDllList();
return 0;
}

http://blog.csdn.net/bdmh/article/details/6100745

时间： 2024-12-28 00:00:32

取PE文件的引入表和导出表的相关文章

获取PE文件的输入表信息

输入表是PE文件结构中不可或缺的部分,输入表也称之为"导入表". 要想了解输入表,首先还得先从DLL文件入手.日常生活中我们会看见一些大型软件有很多的DLL格式的文件,这些文件中有很多的导入函数,这些函数不会直接被执行.当一个程序(EXE)运行时,导入函数是被程序调用执行的,其执行的代码是不在主程序(EXE)中的一小部分函数,其真正的代码却在DLL文件中.这时我们就会想,那么EXE主程序是如何找到这些需要导入的函数呢,这就要归结于“输入表”了,输入表就相当于EXE文件与DLL文件沟通的

小甲鱼PE详解之输入表（导出表）详解（PE详解09）

小甲鱼PE详解之输出表(导出表)详解(PE详解09) 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正. ( 基础补充:很多朋友可能看到这里会有点懵,各位看官请允许小甲鱼啰嗦一下,照顾初学者.我们都明白Windows 在加载一个程序后就在内存中为该程序开辟一个单独的虚拟地址空间,这样的话在各个程序自己看来,自己就拥有几乎

win32下PE文件分析之节表

接上一篇的win32下PE文件分析之NT头 (一).FileBuffer与ImageBuffer (1).FileBuffer是将文件原原本本的读入申请的内存区域中,那部分区域就是FileBuffer,里面的内容与磁盘中的文件一模一样.如下图: (2).ImageBuffer是按照一定规则加载到内存中的某个区域,并且通过一定的处理,能立刻执行的区域,那部分区域叫做ImageBuffer.其大小就是可选PE头中的SizeOfImage.结构如下图: (3).二者之间的关系: ImageBuffer

深入学习PE文件（转）

PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一. 基本结构. 上图便是PE文件的基本结构.(注意:DOS MZ Header和部分PE header的大小是不变的:DOS stub部分的大小是可变的.) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据.NT上的PE文件基本上有9个预定义的Section.分别是:.text, .bss, .rdata, .data, .rsrc,

深入剖析PE文件

不赖猴的笔记,转载请注明出处. 深入剖析PE文件 PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一. 基本结构. 上图便是PE文件的基本结构.(注意:DOS MZ Header和部分PE header的大小是不变的:DOS stub部分的大小是可变的.) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据.NT上的PE文件基本上有9个预定义的Section.分别是:.t

解析PE文件

最近在自学解析PE文件,根据小辣椒(CFF Explorer)以及各论坛上大佬的帖子,做了个黑屏打印PE文件的,历时7天完成,在此想跟有相关需要的同学们分享下思路,有不足之处也希望大家不吝赐教,指点出来.谢谢. PE文件主要有DOS头,NT头(包含PE头,可选PE头,可选PE头中又包含着一个数据目录,里面包含了其他表单的RVA和大小),节表表单主要有导出表,导入表,重定位表,资源表.除了资源表外,其他表单的各项数据都用代码实现了打印. 首先通过CreateFile打开文件,获得文件句柄,随后调

破解软件感悟－PE文件格式之Import Table（引入表）（四）

先来看一个可执行文件的实例:本例程打开一PE文件,将所有引入dll和对应的函数名读入一编辑控件,同时显示 IMAGE_IMPORT_DESCRIPTOR 结构各域值. C:\QQDownload\blah.EXE ================[ IMAGE_IMPORT_DESCRIPTOR ]============= OriginalFirstThunk = 303C TimeDateStamp = 0 ForwarderChain = 0 Name = KERNEL32.dll

利用PE数据目录的导入表获取函数名及其地址

PE文件是以64字节的DOS文件头开始的(IMAGE_DOS_HEADER),接着是一段小DOS程序,然后是248字节的 NT文件头(IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出! NT文件头的前4个字节是文件签名(“PE00"字符串),紧接着是20字节的IMAGE_FILE_HEADER结构,它的后面是224字节的IMAGE_OPTIONAL_HEADER结构,而就在这个结构里,里面有模块基地址,代码和数据大小和基地址.线程堆

PE文件基础

① PE (Portable Executable):微软参考COFF(Common Object File Format)规范,在Windows NT系统上制定的一种标准, 用于exe可执行文件.obj目标文件和dll动态链接库等文件格式.PE32+是PE的64位扩展,其并未添加额外结构,只是把原来32位的字段变成了64位. 与COFF一样,PE也是基于段(Segment,注:有时也被叫节Section)的结构, 按照不同属性将信息分段存放,常见的段有:代码段(.text).数据段(.data