JIURL PE 格式學習總結（二）-- PE文件中的輸出函數

JIURL PE 格式學習總結（二）-- PE文件中的輸出函數

作者: JIURL

                 主頁: http://jiurl.yeah.net/

    日期: 2003-4-24

---

    一般來說輸出函數都是在dll中。我們將詳細介紹關於輸出函數的各種結構，通過一個例子來說明輸出函數及其相關結構是怎麼放在PE文件中的。以及如何在PE文件中找到這些東西。

一 找到輸出函數在文件中位置。

1.1 得到PE Header在文件中的位置。
    通過DOS Header結構的成員e_lfanew，可以確定PE Header的在文件中的位置。

1.2 得到文件中節的數目。
    確定PE Header的在文件中的位置之後，就可以確定PE Header中的成員FileHeader和成員OptionalHeader在文件中的位置。根據 FileHeader 中的 成員NumberOfSections 的值，就可以確定文件中節的數目，也就是節表數組中元素的個數。

1.3 得到節表在文件中的位置。
    PE Header在文件中的位置加上PE Header結構的大小就可以得到節表在文件中的開始位置。PE Header結構的大小可以由Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定。其實到目前爲止SizeOfOptionalHeade也就是結構Optional Header的大小也是固定的,所以整個PE Header結構的大小也是固定。不過爲了安全起見，還是用Signature的大小加上FileHeader的大小再加上FileHeader中的SizeOfOptionalHeade來確定比較保險。

1.4 得到輸出函數在文件中的位置。
    第1.2步中我們確定了文件中節的數目，第1.3步中我們確定了節表在文件中的位置。
    現在來確定輸出函數在文件中的位置。
    取得PE Header中的Optional Header中的DataDirectory數組中的第一項，
也就是輸出函數項。DataDirectory[]數組的每項都是IMAGE_DATA_DIRECTORY結構，該結構定義如下。
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
取得DataDirectory數組中的第一項中的成員VirtualAddress的值。這個值就是在內存中資源節的RVA。
如果這個RVA的值爲0表示這個PE文件中沒有輸出函數。
然後根據節的數目，遍歷節表數組。也就是從0到(節表數-1)的每一個節表項。
每個節在內存中的RVA的範圍是從該節表項的成員VirtualAddress字段的值開始（包括這個值），
到VirtualAddress+Misc.VirtualSize的值結束（不包括這個值）。
我們遍歷整個節表，看我們取得的輸出函數的RVA，在哪個節表項的RVA範圍之內。
如果在範圍之內，就找到了輸出函數所在節的節表項。
這個節表項中的 PointerToRawData 中的值，就是輸出函數所在節在文件中的位置。這個節表項中的VirtualAddress 中的值，就是輸出函數所在節在內存中的RVA。用輸出函數的RVA減去輸出函數所在節的RVA,就可以得到輸出函數在該節內偏移。用這個偏移加上該節的在文件中的位置，就可以得到輸出函數在文件中的位置。即DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress - SectionTable[i].VirtualAddress + SectionTable[i].PointerToRawData 。

這樣我們就得到了輸出函數在文件中開始的位置。

二 PE文件中的輸出函數。

    輸出函數是用來給其他程序使用的。其他程序如果知道了某個輸出函數的入口地址（就是實現這個函數功能的代碼開始的地方），就可以轉到那裏去執行。一個PE文件中，如果有有輸出函數，一般都不是一個。所以有一個數組來保存每個輸出函數的入口地址。在PE文件中，提供兩種方法，來找到某個輸出函數的入口地址。第一種方法是通過入口地址數組序號，就是說知道是入口地址數組中的第幾個元素，這樣就可以得到裏面的入口地址。第二種方法是通過函數名，通過比較函數名，然後得到對應該函數名的入口地址數組的序號，從而得到該函數名的對應函數的入口地址。爲了能夠通過函數名得到序號，就需要一些相關的結構。具體內容後面講。總得來說PE文件的輸出函數部分中就是這些東西。

    前面我們已經得到了輸出函數部分在文件中開始的位置，在輸出函數部分的最開始，是一個IMAGE_EXPORT_DIRECTORY 結構，這個結構提供很多重要的信息。這個結構的後面緊跟着的是 輸出函數入口地址數組 。輸出函數入口地址數組之後緊跟着的是輸出函數名的指針數組。輸出函數名的指針數組之後緊跟着的是輸出函數名對應的序號的數組。輸出函數名對應的序號的數組之後緊跟着dll的名字和輸出函數的名字。注意，他們之間是緊挨着的。並且順序爲IMAGE_EXPORT_DIRECTORY，輸出函數入口地址的數組，輸出函數名的指針的數組，輸出函數名對應的序號的數組。最後是dll的名字的字符串和那些輸出函數名的字符串。

    先看IMAGE_EXPORT_DIRECTORY 結構，在WINNT.H中定義如下。

typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics;
DWORD TimeDateStamp;
WORD MajorVersion;
WORD MinorVersion;
DWORD Name;
DWORD Base;
DWORD NumberOfFunctions;
DWORD NumberOfNames;
DWORD AddressOfFunctions; // RVA from base of image
DWORD AddressOfNames; // RVA from base of image
DWORD AddressOfNameOrdinals; // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

這個結構長度爲40個字節，共有11個字段。
各字段含義如下：

Characteristics：一個保留字段，目前爲止值爲0。
TimeDateStamp：產生的時間。
MajorVersion：
MinorVersion：
Name：一個RVA，指向一個dll的名稱的ascii字符串。
Base：輸出函數的起始序號。一般爲1。
NumberOfFunctions：輸出函數入口地址的數組 中的元素個數。
NumberOfNames：輸出函數名的指針的數組 中的元素個數，也是輸出函數名對應的序號的數組 中的元素個數。
AddressOfFunctions：一個RVA，指向輸出函數入口地址的數組。
AddressOfNames：一個RVA，指向輸出函數名的指針的數組。
AddressOfNameOrdinals：一個RVA，指向輸出函數名對應的序號的數組。

輸出函數入口地址的數組，這個數組是一個DWORD數組，每個元素都是一個RVA，指向一個輸出函數的入口地址，每個元素長4個字節。

輸出函數名的指針的數組，這個數組是一個DWORD數組，每個元素都是一個RVA，指向一個輸出函數名的ascii字符串，每個元素長4個字節。

輸出函數名對應的序號的數組，這個數組是一個WORD數組，每個元素都是某個輸出函數名函數對應的索引，這個索引是輸出函數入口地址的數組的索引（已經用序號減去起始序號了），這個每個元素長2個字節。

dll名字符串和輸出函數名字符串，都是ascii字符串，以空結束。一個緊挨着一個。dll名字符串的地址存在IMAGE_EXPORT_DIRECTORY 的 Name 中。輸出函數名字符串 的地址存在 輸出函數名的指針的數組 中。

還有要注意的是：

   輸出函數入口地址的數組包含着輸出函數的入口點地址，一個序號減去起始序號（起始序號就是 IMAGE_EXPORT_DIRECTORY 中的 Base），用來索引這個數組。比如，起始序號爲1，要找序號爲1的函數的入口地址，那麼該函數的入口地址爲 輸出函數入口地址數組[0]（0是由1-1算出來的）序號爲3的函數的入口地址爲   輸出函數入口地址數組[2]（2是由3-1算出來的）。

當載入器要修正一個函數的調用，而這個函數是用序號輸入的，載入器只要用序號減去起始序號，得到輸出函數入口地址的數組的索引，就可以了。
當載入器要修正一個函數的調用，而這個函數是用函數名輸入的，載入器比較輸出函數名的指針的數組每個元素所指的函數名，比如在第3個元素中比較，發現相同。載入器就會從 輸出函數名對應的序號的數組 的第三個元素的值 得到該函數的序號。用這個序號就可以在象前面那樣用序號得到入口地址。輸出函數名的指針的數組 和 輸出函數名對應的序號的數組 有相同的元素個數（IMAGE_EXPORT_DIRECTORY 中的 NumberOfNames）。並且是有所關聯的，函數名指針數組的第i個元素的序號，在序號數組的第i個元素中。輸出函數名的指針的數組和輸出函數名對應的序號的數組，分開成兩個數組，而不是合併成一個結構體的數組（這個結構體第一個成員是指針，第二個成員是序號），是因爲，那樣的話數組的一個元素長6個字節，不利於對齊。

下面我們來通過一個例子，來看上面所介紹的內容。

我們的例子是Win2k中的dll文件routetab.dll。爲了防止大家版本不同，本文附帶了這個PE文件。

用開始講到的尋找輸出部分在文件中位置的方法，我們找到了輸出部分在文件中的位置爲00001460h。

由於第一個結構IMAGE_EXPORT_DIRECTORY比較長，一行方不下，所以放了三行，結構的不同成員用 / 分開。
其他每行是一個結構。可以用16進制編輯器打開附帶的 routetab.dll 對照着看。

我們來算一下 Name，AddressOfFunctions，AddressOfNames，AddressOfNameOrdinals 在文件中的位置。
輸出部分的開始rva（由DataDirectory[1]得到）爲1e60h。輸出部分在文件中的位置爲1460h。
Name爲rva(值從結構中可以看到是00001eec，如果你不明白爲什麼是00001eec而不是ec1e0000的話，請看 《JIURL PE 格式學習總結（一）》中關於 big-endian和little-endian的介紹)，則Name相對於輸出部分開始處的偏移爲1eec-1e60。而Name在文件中的位置爲Name在相對於輸出部分開始的偏移加上輸出部分開始處在文件中的位置。所以Name在文件中的位置爲1EEC-1E60+1460=14ECh。同樣方法我們可以算出， AddressOfFunctions：
1e88-1e60+1460=1488。AddressOfNames：1eb0-1e60+1460=14b0 。AddressOfNameOrdinals：1ed8-1e60+1460=14d8。 從結構中還可以看到有0000000a（十進制10）個輸出函數。

00001460: {00 00 00 00 / dc 5b ec 37 / 00 00 / 00 00 / ec 1e 00 00 /
00001470: 01 00 00 00 / 0a 00 00 00 / 0a 00 00 00 / 88 1e 00 00 /
00001480: b0 1e 00 00 / d8 1e 00 00 } 
（我們用大括號括起來了，IMAGE_EXPORT_DIRECTORY結構，長度爲40個字節）

00001488: 41 1a 00 00 （函數入口點的RVA,長4個字節）
0000148C: 64 1a 00 00 
00001490: 02 18 00 00 
00001494: 02 18 00 00 
00001498: 71 16 00 00 
0000149C: 07 16 00 00 
000014A0: 26 18 00 00 
000014A4: 84 1a 00 00 
000014A8: 06 17 00 00 
000014AC: 5b 19 00 00 

000014B0: f9 1e 00 00 （函數名的指針，長4個字節，指向 1ef9-1e60+1460=14f9）
000014B4: 02 1f 00 00 
000014B8: 0e 1f 00 00 
000014BC: 21 1f 00 00 
000014C0: 30 1f 00 00 
000014C4: 42 1f 00 00 
000014C8: 4d 1f 00 00 
000014CC: 5b 1f 00 00 
000014D0: 6c 1f 00 00 
000014D4: 81 1f 00 00 

000014D8: 00 00 （索引，說明的1個函數名的函數，入口地址在 地址數組[0]）
（並不是每個PE文件序號數組的第0個元素值就是0，第1個元素值就是1，ntdll.dll中就不是）
000014DA: 01 00 
000014DC: 02 00 
000014DE: 03 00 
000014E0: 04 00 
000014E2: 05 00 
000014E4: 06 00 
000014E6: 07 00 
000014E8: 08 00 
000014EA: 09 00 

000014EC: 52 4f 55 54 45 54 41 42 2e 64 6c 6c 00                       ROUTETAB.dll.
000014F9: 41 64 64 52 6f 75 74 65 00                                   AddRoute.
00001502: 44 65 6c 65 74 65 52 6f 75 74 65 00                          DeleteRoute.
0000150E: 46 72 65 65 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00     FreeIPAddressTable.
00001521: 46 72 65 65 52 6f 75 74 65 54 61 62 6c 65 00                 FreeRouteTable.
00001530: 47 65 74 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00        GetIPAddressTable.
00001542: 47 65 74 49 66 45 6e 74 72 79 00                             GetIfEntry.
0000154D: 47 65 74 52 6f 75 74 65 54 61 62 6c 65 00                    GetRouteTable.
0000155B: 52 65 66 72 65 73 68 41 64 64 72 65 73 73 65 73 00           RefreshAddresses.
0000156C: 52 65 6c 6f 61 64 49 50 41 64 64 72 65 73 73 54 61 62 6c 65 00                                                                      ReloadIPAddressTable.
00001581: 53 65 74 41 64 64 72 43 68 61 6e 67 65 4e 6f 74 69 66 79 45 76 65 6e 74 00 
                                                                    SetAddrChangeNotifyEvent.
0000159A: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
000015AA: ...
000015F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

還是比較清楚的，就不再講了。

三 遍歷PE文件中的輸出

    根據前面的方法得到輸出部分的開始地址，最開始是一個IMAGE_EXPORT_DIRECTORY，根據這個結構中的內容，可以得到，和輸出相關的三個數組的開始地址，和元素個數。用for循環可以很簡單的遍歷。

    實現遍歷輸出的源程序，可以參考 PEDUMP - Matt Pietrek 1995 。《Windows95系統程式設計大奧祕》附書源碼中有。

完

本文所使用的PE文件routetab.dll