xp系统下用虚拟机安装win8,PE结构分析

图片 1

使用的操作系统操作系统

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;    // 未使用,总为0 

    DWORD   TimeDateStamp;      // 文件创建时间戳
    WORD    MajorVersion;       // 未使用,总为0 

    WORD    MinorVersion;       // 未使用,总为0
    DWORD   Name;               // 指向一个代表此 DLL名字的 ASCII字符串的 RVA
    DWORD   Base;               // 函数的起始序号
    DWORD   NumberOfFunctions;  // 导出函数的总数

    DWORD   NumberOfNames;      // 以名称方式导出的函数的总数

    DWORD   AddressOfFunctions;     // 指向输出函数地址的RVA
    DWORD   AddressOfNames;         // 指向输出函数名字的RVA
    DWORD   AddressOfNameOrdinals;  // 指向输出函数序号的RVA

} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

改成IDE的模式

 

AddressOfFunctions 所指向内容是以 4 字节为一个单位的数组成分,各个成分代表函数入口

windows7 

AddressOfNames 所指向内容是以 4 字节为叁个单位的数组成分,每种元素代表贰个针对字符串的 奥迪Q7VA

 

AddressOfNamesOrdinals 所指向内容是以 2 字节为三个单位的数组元素,每一种成分代表对应名字在 AddressOfFunctions 中的序号数。

SP1 

AddressOfNames 和 AddressOfNamesOrdinals 的数额确定是同样的,不是同样那么就出错了。

X64 

主要要精晓三种检索函数入口地址的方法:

 

A. 从序号查找函数入口地址

  1. 定位到PE 文件头
  2. 从PE 文件头中的 IMAGE_OPTIONAL_HEADERAV432 结构中收取数据目录表,并从第二个数据目录中获取导出表的LacrosseVA
  3. 从导出表的 Base 字段获得初叶序号
    4. 将急需探寻的导出序号减去最先序号Base,得到函数在进口地址表中的索引,检查评定索引值是或不是超过导出表的 NumberOfFunctions 字段的值,要是过量前面一个的话,表明输入的序号是于事无补的
  4. 用那几个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中抽取相应的连串,这正是函数入口地址的纳瓦拉VA 值,当函数棉被服装入内部存款和储蓄器的时候,这些奥迪Q5VA 值加上模块实际装入的集散地址,就得到了函数真正的进口地址

本学科所用

B. 从函数名称查找入口地址

本人想通的地点,记录下来:用函数名来查究的话,Base 的值未来未有别的意义

  1. 第生机勃勃获得导出表之处
  2. 从导出表的 NumberOfNames 字段获得已命名函数的总量,并以那个数字作为循环的次数来组织三个周而复始,从 AddressOfNames 字段指向获得的函数名称地址表的第后生可畏项开端,在循环大校每黄金年代项定义的函数名与要查究的函数名绝相比,若无任何一个函数名是切合的,表示文件中从不点名名称的函数。
    3. 豆蔻年华旦某后生可畏项定义的函数名与要物色的函数名切合,那么记下那些函数名在字符串地址表中的索引值,然后在AddressOfNamesOrdinals 指向的数组中以雷同的索引值抽取数组项的值,大家这里借使那个值是 x
  3. 最终,以 x 的值作为索引值在 AddressOfFunctions  字段指向的函数入口地址表中获取 奥迪Q7VA 。此 EvoqueVA 便是函数的输入地址。

附上海教室片:

图片 2

的软件的下载地址都在本教程中

计算机内部存款和储蓄器低于

4G

的,加内部存款和储蓄器吧

 

 

1.

 

SecurAble

(检验你的

CPU

是或不是援助硬件级虚构情势)

 

 

Hardware Virtualization

Yes

或者

本文由澳门新葡亰平台官网发布于操作系统,转载请注明出处:xp系统下用虚拟机安装win8,PE结构分析

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。