《逆向工程核心原理》<02-13> PE文件格式 部分笔记

1. RVA to RAW

RAW - PointerToRawData = RVA - VirtualAddress                   RAW = RVA - Virtual + PointerToRawData

2. IAT

IMAGE_OPTIONAL_HEADER->     IMPORT Table->IMPORT_DIRECTORY_TABLE (IDT)->    IMAGE_IMPORT_DESCRIPTOR (IID)->        IMPORT_NAME_TABLE (INT)     // OrignalFirstThunk        IMPORT_ADDRESS_TABLE (IAT)  // FirstThunk

IAT 输入顺序

1. 读取IID的Name成员, 获取库名称字符串2. 装载相应库    -> LoadLibrary("xxx.dll")3. 读取IID的OrignalFirstThunk成员, 获取INT地址4. 逐一读取INT数组的值, 获取相应的IMAGE_IMPORT_BY_NAME地址(RVA)5. 使用IMAGE_IMPORT_BY_NAME的hint(ordinal)或Name项, 获取相应函数的起始地址    -> GetProcAddress("xxx")6. 读取IID的FirstThunk(IAT)成员, 获取IAT地址7. 将上面获得的函数地址输入相应的IAT数组值8. 重复以上步骤4~7, 直到INT结束(遇到NULL)注: INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针    INT与IAT的大小应相同    IMAGE_IMPORT_BY_NAME 前2个字节为Ordinal 为库中函数的固有编号                         后面的字节为函数名称字符串

3. EAT

IMAGE_OPTIONAL_HEADER->     EXPORT Table->IMAGE_EXPORT_DIRECTORY->    NumberOfFunctions    NumberOfNames    AddressOfFunctions    AddressOfNames    AddressOfNameOrdinals    Base

两种寻找函数入口地址的方法

原文来自: http://www.web520.cn/archives/17730

A. 从序号查找函数入口地址

1. 定位到PE 文件头2. 从PE 文件头中的 IMAGE_OPTIONAL_HEADER32 结构中取出数据目录表，并从第一个数据目录中得到导出表的RVA3. 从导出表的 Base 字段得到起始序号4. 将需要查找的导出序号减去起始序号Base，得到函数在入口地址表中的索引，检测索引值是否大于导出表的 NumberOfFunctions 字段的值，如果大于后者的话，说明输入的序号是无效的5. 用这个索引值在 AddressOfFunctions 字段指向的导出函数入口地址表中取出相应的项目，这就是函数入口地址的RVA 值，当函数被装入内存的时候，这个RVA 值加上模块实际装入的基地址，就得到了函数真正的入口地址

B. 从函数名称查找入口地址

我想通的地方，记录下来：用函数名来查找的话，Base 的值现在没有任何意义1. 首先得到导出表的地址2. 从导出表的 NumberOfNames 字段得到已命名函数的总数，并以这个数字作为循环的次数来构造一个循环，从 AddressOfNames 字段指向得到的函数名称地址表的第一项开始，在循环中将每一项定义的函数名与要查找的函数名相比较，如果没有任何一个函数名是符合的，表示文件中没有指定名称的函数。3. 如果某一项定义的函数名与要查找的函数名符合，那么记下这个函数名在字符串地址表中的索引值，然后在AddressOfNamesOrdinals 指向的数组中以同样的索引值取出数组项的值，我们这里假设这个值是 x4. 最后，以 x 的值作为索引值在 AddressOfFunctions  字段指向的函数入口地址表中获取 RVA 。此 RVA 就是函数的入口地址。

C. EAT工作原理图