Windows逆向工程提升之IMAGE_EXPORT_DIRECTORY
- 公开视频 -> 链接点击跳转公开课程
- 博客首页 -> 链接点击跳转博客主页
目录
什么是 IMAGE_EXPORT_DIRECTORY?
PE 文件与 Export Table 的关系
PE 文件的整体视角
Export Table 在 PE 中的定位
IMAGE_EXPORT_DIRECTORY 结构
数据结构定义
字段详解
Characteristics
TimeDateStamp
MajorVersion 和 MinorVersion
Name
Base
NumberOfFunctions
NumberOfNames
AddressOfFunctions
AddressOfNames
AddressOfNameOrdinals
Export Table 的三个主要数组的关系
AddressOfFunctions(函数地址表)
AddressOfNames(名称指针表)
AddressOfNameOrdinals(序号表)
导出表的工作流程
导出表在攻击中的应用
API Hook
恶意 Shellcode 的注入
导出表在防御中的实际应用
完整性验证
内存防护机制
什么是 IMAGE_EXPORT_DIRECTORY?
概述
- 在 Windows PE 文件结构中,IMAGE_EXPORT_DIRECTORY 是用于描述模块 (DLL 或 EXE) 所导出(函数或变量)信息的核心结构。
- 通过 Export Directory,其他模块可以访问当前模块公开的符号,如动态函数链接调用的函数地址。
PE 文件与 Export Table 的关系
PE 文件的整体视角
PE 文件是一种模块化执行文件格式。它包含以下部分:
- Headers 部分:包括 DOS Header、PE Header,用来描述文件结构和入口点等。
- Data Directories 部分:包含导出表(Export Table)、导入表(Import Table)、重定位表(Relocation Table)等指针。
Export Table 在 PE 中的定位
- Export Table 是 Data Directories 的一项,位于 PE 可选头部中的 IMAGE_DATA_DIRECTORY 中。
- 它的作用是描述该模块导出的所有符号(函数或变量),并支持函数按名称或序号的调用。
- 常用于动态链接库 (DLL) 的导出 API。
IMAGE_EXPORT_DIRECTORY 结构
数据结构定义
在 Windows SDK 的 winnt.h 文件中,IMAGEEXPORTDIRECTORY 的结构定义如下:
typedef struct _IMAGE_EXPORT_DIRECTORY {DWORD Characteristics; // 保留字段(总为0)DWORD TimeDateStamp; // 时间戳(编译器生成时间)WORD MajorVersion; // 主版本号(通常为0)WORD MinorVersion; // 次版本号(通常为0)DWORD Name; // DLL名称的RVA(如"kernel32.dll")DWORD Base; // 导出函数序号的基值(实际序号=索引+Base)DWORD NumberOfFunctions; // 导出函数总数(最大的导出序号 - 最小的导出序号 + 1)DWORD NumberOfNames; // 按名称导出的函数数量(可能小于总数)DWORD AddressOfFunctions; // 函数地址数组的RVA(每个元素为函数RVA)DWORD AddressOfNames; // 函数名称数组的RVA(每个元素为名称RVA)DWORD AddressOfNameOrdinals; // 函数序号数组的RVA(每个元素为索引)
} IMAGE_EXPORT_DIRECTORY;字段详解
Characteristics
- 保留字段,通常为 0。
TimeDateStamp
- 用于表示导出表生成的时间戳。
- 用于验证导出表的有效性。
MajorVersion 和 MinorVersion
- 保留字段,表示模块的主次版本号。实际很少使用。
Name
- 模块名称(DLL 文件名)的 RVA,例如 "kernel32.dll"。
Base
- 起始导出序号值。默认是 1,但可以自定义为其它值。
NumberOfFunctions
- 导出函数地址表中条目数量。
- 即模块实际可以导出的符号总量。
NumberOfNames
- 导出名称表中的名称数量。
- 注意: 这可能小于 NumberOfFunctions,因为不是所有函数都有名称(某些只通过序号导出)。
AddressOfFunctions
- 一个指向 RVA 的数组,每个条目是导出函数地址。
AddressOfNames
- 一个指向 RVA 的数组,每个条目是导出函数名称字符串的 RVA。
AddressOfNameOrdinals
- 一个指向数组的 RVA,每个条目对应导出名称表中名称的序号(以 Base 为基数)。
Export Table 的三个主要数组的关系
AddressOfFunctions(函数地址表)
- 储存实际导出函数的入口地址(RVA)。
- 大小等于 NumberOfFunctions * sizeof(DWORD)。
AddressOfNames(名称指针表)
- 储存名称的 RVA,仅包含按名称导出的符号。
- 大小等于 NumberOfNames * sizeof(DWORD)。
AddressOfNameOrdinals(序号表)
- 每个名称对应的函数序号。
- 这些序号用来索引函数地址表中的指定条目。
- 大小等于 NumberOfNames * sizeof(WORD)。
导出表的工作流程
- PE 加载器读取 Data Directory,定位到 IMAGE_EXPORT_DIRECTORY 的 RVA。
- 通过 AddressOfFunctions、AddressOfNames 和 AddressOfNameOrdinals 解析导出符号。
- 如果按照函数名导出,从名称表和序号表定位到函数地址。
- 如果按照函数序号导出,直接用序号索引函数地址表。
- 动态生成外部模块可以调用的函数地址。
导出表在攻击中的应用
API Hook
攻击者通过修改导出表(尤其是导出地址表,即 Export Address Table, EAT)中函数地址,将正常的函数调用重定向到恶意函数,进而拦截数据或执行恶意代码。
- 功能篡改:
- 攻击者拦截导出的关键函数(如 OpenFile、ReadFile),窃取用户数据或操作文件。
- 隐藏恶意行为:
- 将监控函数(如 NtQuerySystemInformation)指向伪造的函数,隐藏自身的进程和对象。
恶意 Shellcode 的注入
- 添加自定义导出函数,伪装成合法的 DLL。
- 使用恶意 Shellcode 替代导出函数实现远程控制或蠕虫传播。
导出表在防御中的实际应用
完整性验证
导出表是 PE 文件结构的核心,可以作为完整性校验的依据:
- 验证导出地址是否指向合法的函数地址。
- 验证所有导出函数的序号和名称是否匹配。
- 针对 DLL 劫持攻击的防御:通过比对导出表内容和原始文件的导出表,检测是否被篡改。
- 防止 Hook 或 API 替换攻击:验证导出表指向的内存区域是否合法。
内存防护机制
Windows 的现代内存防护技术可以用来保护导出表免受修改。
- DEP(数据执行保护):
- 防止攻击者直接修改导出表的函数地址指向恶意代码。
- ASLR(地址空间布局随机化):
- 随机化模块加载地址,增加攻击者定位导出表的难度。
相关文章:
Windows逆向工程提升之IMAGE_EXPORT_DIRECTORY
公开视频 -> 链接点击跳转公开课程博客首页 -> 链接点击跳转博客主页 目录 什么是 IMAGE_EXPORT_DIRECTORY? PE 文件与 Export Table 的关系 PE 文件的整体视角 Export Table 在 PE 中的定位 IMAGE_EXPORT_DIRECTORY 结构 数据结构定义 字段详解…...
python与flask框架
一、理论 Flask是一个轻量级的web框架,灵活易用。提供构建web应用所需的核心工具。 Flask依赖python的两个库 Werkzeug:flask的底层库,提供了WSGI接口、HTTP请求和响应处理、路由等核心功能。 Jinja2:模板引擎࿰…...
【普及+/提高】洛谷P2613 【模板】有理数取余——快读+快速幂
题目来源 P2613 【模板】有理数取余 - 洛谷 题目描述 给出一个有理数 cba,求 cmod19260817 的值。 这个值被定义为 bx≡a(mod19260817) 的解。 输入格式 一共两行。 第一行,一个整数 a。 第二行,一个整数 b。 输出格式 一个整数&a…...
从数据到智能:openGauss+openEuler Intelligence的RAG架构实战
随着人工智能和大规模语言模型技术的崛起,传统的搜索引擎由于其只能提供简单的关键字匹配结果,已经越来越无法满足用户对于复杂、多样化和上下文相关的知识检索需求。与此相对,RAG(Retrieval-Augmented Generation)技术…...
【Linux】初见,基础指令
前言 本文将讲解Linux中最基础的东西-----指令,带大家了解一下Linux中有哪些基础指令,分别有什么作用。 本文中的指令和选项并不全,只介绍较为常用的 pwd指令 语法:pwd 功能:显示当前所在位置(路径…...
什么是实时流数据?核心概念与应用场景解析
在当今数字经济时代,实时流数据正成为企业核心竞争力。金融机构需要实时风控系统在欺诈交易发生的瞬间进行拦截;电商平台需要根据用户实时行为提供个性化推荐;工业物联网需要监控设备状态预防故障。这些场景都要求系统能够“即时感知、即时分…...
工业RTOS生态重构:从PLC到“端 - 边 - 云”协同调度
一、引言 在当今数字化浪潮席卷全球的背景下,工业领域正经历着深刻变革。工业自动化作为制造业发展的基石,其技术架构的演进直接关系到生产效率、产品质量以及企业的市场竞争力。传统的PLC(可编程逻辑控制器)架构虽然在工业控制领…...
----动态规划·状态机模型)
数据结构与算法学习笔记(Acwing 提高课)----动态规划·状态机模型
数据结构与算法学习笔记----动态规划状态机模型 author: 明月清了个风 first publish time: 2025.5.20 ps⭐️背包终于结束了,状态机模型题目不多。状态机其实是一种另类的状态表示方法,将某一个点扩展为一个状态进行保存并在多个状态之间转移…...
基于开源链动2+1模式AI智能名片S2B2C商城小程序的社群构建与新型消费迎合策略研究
摘要:随着个性化与小众化消费的崛起,消费者消费心理和模式发生巨大变化,社群构建对商家迎合新型消费特点、融入市场经济发展至关重要。开源链动21模式AI智能名片S2B2C商城小程序的出现,为社群构建提供了创新工具。本文探讨该小程序…...
高性能RPC框架--Dubbo(五)
Filter: filter过滤器动态拦截请求(request)或响应(response)以转换或使用请求或响应中包含的信息。同时对于filter过滤器不仅适合消费端而且还适合服务提供端。我们可以自定义在什么情况下去使用filter过滤器 Activa…...
)
计算机视觉与深度学习 | PSO-MVMD粒子群算法优化多元变分模态分解(Matlab完整代码和数据)
以下是一个基于PSO优化多元变分模态分解(MVMD)的Matlab示例代码框架,包含模拟数据生成和分解结果可视化。用户可根据实际需求调整参数。 %% 主程序:PSO优化MVMD参数 clc; clear; close all;% 生成模拟多变量信号 fs = 1000; % 采样频率 t = 0:1/fs:...
搭建自己的语音对话系统:开源 S2S 流水线深度解析与实战
网罗开发 (小红书、快手、视频号同名) 大家好,我是 展菲,目前在上市企业从事人工智能项目研发管理工作,平时热衷于分享各种编程领域的软硬技能知识以及前沿技术,包括iOS、前端、Harmony OS、Java、Python等…...
feign调用指定服务ip端口
1 背景 在springcloud开发时候,同时修改了feign接口和调用方的代码,希望直接在某个环境调用修改的代码,而线上的服务又不希望被下线因为需要继续为其他访问页面的用户提供功能后端服务,有时候甚者包含你正在修改的功能。 2 修改…...
【深尚想!爱普特APT32F1023H8S6单片机重构智能电机控制新标杆】
在智能家电与健康器械市场爆发的今天,核心驱动技术正成为产品突围的关键。传统电机控制方案面临集成度低、开发周期长、性能瓶颈三大痛点,而爱普特电子带来的APT32F1023H8S6单片机无感三合一方案,正在掀起一场智能电机控制的技术革命。 爆款基…...
vue2 中的过滤器以及vue3中的替换方案
在 Vue 2 中,过滤器(filters) 是一种非常实用的语法糖,用于在模板中对数据进行格式化输出处理。我们来深入理解过滤器的原理、使用方式、最佳实践以及其局限性。 vue2 🧠 本质是什么? Vue 2 的过滤器是一…...
Unity EventCenter 消息中心的设计与实现
在开发过程中,想要传递信号和数据,就得在不同模块之间实现通信。直接通过单例调用虽然简单,但会导致代码高度耦合,难以维护。消息中心提供了一种松耦合的通信方式:发布者不需要知道谁接收事件,接收者不需要…...
瑞萨单片机笔记
1.CS for CC map文件中显示变量地址 Link Option->List->Output Symbol information 2.FDL库函数 pfdl_status_t R_FDL_Write(pfdl_u16 index, __near pfdl_u08* buffer, pfdl_u16 bytecount) pfdl_status_t R_FDL_Read(pfdl_u16 index, __near pfdl_u08* buffer, pfdl_…...
 】)
300. 最长递增子序列【 力扣(LeetCode) 】
文章目录 零、原题链接一、题目描述二、测试用例三、解题思路3.1 动态规划3.2 贪心 二分 四、参考代码4.1 动态规划4.2 贪心 二分 零、原题链接 300. 最长递增子序列 一、题目描述 给你一个整数数组 nums ,找到其中最长严格递增子序列的长度。 子序列 是由数组…...
MySQL远程连接10060错误:防火墙端口设置指南
问题描述: 如果你通过本机服务器远程连接MySQL,出现10060错误,那可能是你的防火墙的问题 解决: 第一步:查看防火墙规则 通过以下命令查询,看ports是否开放了3306端口,目前只开放了22端口 f…...
使用 OpenCV 实现 ArUco 码识别与坐标轴绘制
🎯 使用 OpenCV 实现 ArUco 码识别与坐标轴绘制(含Python源码) Aruco 是一种广泛用于机器人、增强现实(AR)和相机标定的方形标记系统。本文将带你一步一步使用 Python OpenCV 实现图像中多个 ArUco 码的检测与坐标轴…...
2024CCPC辽宁省赛 个人补题 ABCEGJL
Dashboard - 2024 CCPC Liaoning Provincial Contest - Codeforces 过题难度 B A J C L E G 铜奖 4 953 银奖 6 991 金奖 8 1664 B: 模拟题 // Code Start Here string s;cin >> s;reverse(all(s));cout << s << endl;A:很…...
#6 百日计划第六天 java全栈学习
今天学的啥 上午 算法byd图论 图遍历dfs bfs 没学懂呵呵 找到两个良心up 图码 labuladong 看算法还好 尚硅谷讲的太浅了 那你问我 下午呢 下午 java 看了会廖雪峰的教程 回顾基础 小林coding Java基础八股文 还有集合的八股文 有的不是很懂 今天把Java基础算是完…...
AOP的代理模式
AOP的代理模式 1. AOP的实现方式 Spring AOP 主要通过两种动态代理技术实现: JDK动态代理:基于接口的代理,要求目标类必须实现至少一个接口。通过反射机制在运行时生成代理类(实现目标接口),并重写接口…...
解决leetcode第3548题.等和矩阵分割II
3548.等和矩阵分割II 难度:困难 问题描述: 给你一个由正整数组成的mxn矩阵grid。你的任务是判断是否可以通过一条水平或一条垂直分割线将矩阵分割成两部分,使得: 分割后形成的每个部分都是非空的。 两个部分中所有元素的和相…...
深入解析自然语言处理中的语言转换方法
在数字化浪潮席卷全球的今天,自然语言处理(Natural Language Processing,NLP)作为人工智能领域的核心技术之一,正深刻地改变着我们与机器交互的方式。其中,语言转换方法更是 NLP 的关键组成部分,…...
redis 进行缓存实战-18
使用 Redis 进行缓存 Redis 通常被认为只是一个数据存储,但它的速度和内存中特性使其成为缓存的绝佳选择。缓存是一种技术,通过将经常访问的数据存储在快速的临时存储位置来提高应用程序性能。通过使用 Redis 作为缓存,您可以显著减少主数据…...
JFace中MVC的表的单元格编辑功能的实现
一、实现流程 在JFace中实现MVC模式的表格编辑功能通常需要以下步骤: 1、启用编辑模式: 调用TableVierer对象的setCellModifier()方法,设置一个ICellModifier对象,以便在表格中启用编辑模式。实现ICellModifier接口的canModify(…...
在 Excel xll 自动注册操作 中使用东方仙盟软件2————仙盟创梦IDE
// 获取当前工作表名称string sheetName (string)XlCall.Excel(XlCall.xlfGetDocument, 7);// 构造动态名称(例如:Sheet1!MyNamedCell)string fullName $"{sheetName}!MyNamedCell";// 获取引用并设置值var namedRange (ExcelRe…...
canal实现mysql数据同步
目录 1、canal下载 2、mysql同步用户创建和授权 3、canal admin安装和启动 4、canal server安装和启动 5、java 端集成监听canal 同步的mysql数据 6、java tcp同步只是其中一种方式,还可以通过kafka、rabbitmq等方式进行数据同步 1、canal下载 canal实现mysq…...
解决 MySQL 表结构修改中锁定异常的全链路实战指南:从表结构设计到版本调优
引言 在 MySQL 中执行ALTER TABLE修改表结构(如新增字段、调整字段类型)时,锁定异常是最常见的阻碍。无论是 5.7 的 “锁等待超时”、8.0 的 “MDL 锁阻塞”,还是高并发下的 “长事务死锁”,本质都是表结构修改需要获…...