逆向学习汇编篇 导出表

本节课在线学习视频（网盘地址，保存后即可免费观看）：

https://pan.quark.cn/s/7e74de5b9690

声明：所有发布内容来自网络，仅供用户学习交流测试网速使用，部分影片如有内嵌广告，请勿上当受骗。获取的所有内容请在24小时内删除，禁止非法恶意传播或商业用途。如有侵权，请联系删除，个人微信：nixiangyn，防失联。

导出表在程序中起着至关重要的作用，它不仅描述了哪些函数或变量可供外部使用，还包括它们的存储地址。最初，导出依赖于序号，后来通过引入基值和填充中间空位的策略，提高了空间利用率。该对话详细介绍了Windows PE文件中导出表的结构，特别是导出地址数组与导出名称数组之间的关系。此外，讨论了如何通过导出表获取特定模块中的函数地址，以及如何利用这些地址进行进一步的操作。接着，对话转向了进程注入技术的重要性及其在保护和对抗恶意软件方面的应用，强调了哈希值比较在提高安全防护方面的作用。最后，探讨了二进制级漏洞利用的具体实现方式，着重于get_process_address方法的应用及其在编写外壳代码和共享代码中的重要性。

01:23 - 深入理解导出表及其结构

导出表用于描述程序中的哪些函数或变量可供外部使用及它们的存储地址。早期导出仅依靠序号，随着需求发展，出现了通过序号快速查找功能地址的方法，但这也带来了额外的空间浪费问题。后续通过引入基值和填充中间空位的策略优化了空间利用，体现了在时间和空间之间权衡的设计思想。

11:55 - 导出函数的名称与序号管理

对话主要讨论了导出函数如何通过名称和序号进行管理和访问。一开始介绍了导出函数的基本结构，随后详细说明了在引入名称导出后，如何通过转换和存储名称与序号对应关系以实现更高效的功能。此外，还提到了导出表的设计以及如何处理增加新函数时的序号和名称管理问题。整个讨论围绕着导出函数的优化和效率提升展开，强调了名称与序号管理的重要性及其实现方式的历史背景。

20:15 - 解析Windows PE导出表结构

这段对话详细介绍了Windows PE文件中导出表的结构，包括导出表的数据目录、导出项（如导出函数、名称和序号）的布局和逻辑关系。特别指出了导出地址数组与导出名称数组之间一对一的关系，并解释了为何导出序号数组没有包含其个数的记录。

44:37 - 理解并应用程序导出表

介绍了如何通过序号获取程序中的函数地址，以及如何根据新的序号设置改变导出表的结构和内容。同时，讨论了在修改序号后，虽然导出表的结构发生变化，但查询函数地址的方法保持不变。

01:05:47 - 导出表及其相关概念解析

导出表包含函数名称、序号和地址等信息，无名称时可通过序号查找。函数转发导致地址记录难题，需注意地址是否落入导出表范围以判断。

01:50:58 - 深入理解导出表与函数地址获取

本段对话主要介绍了如何通过导出表结构来获取特定模块中的函数地址，以及如何利用这些地址进行进一步的操作。首先，通过对导出表的理解，可以得知每个函数在程序中的存储位置，为后续的地址获取工作铺平了道路。其次，详细描述了如何根据函数的序号或名称，在导出表中查找对应的函数地址，并进行了具体的步骤演示，包括定位导出表、判断查询方式、计算地址偏移量等。最终，通过实际操作展示了如何有效获取并利用函数地址，对于深入理解程序的运行机制具有重要意义。

02:24:51 - 深入探讨进程注入与导入表哈希值比较

本次讨论重点在于进程注入技术及如何通过对比导入表的哈希值来有效检测和应对恶意软件的攻击。首先介绍了使用MessageBox函数作为示例，并探讨了其在实际应用中的作用和可能遇到的问题。随后，讨论转向了进程注入的重要性及其在保护和对抗方面的应用。特别强调了获取进程信息、处理导入表以及利用哈希值比较来提高安全防护的策略。此外，还提到了一些常见的误解和对策，比如误判和过程映射的复杂性。通过这次讨论，突出了在现代软件安全领域，对进程注入和导入表处理技术理解的重要性。

02:36:12 - 深入理解二进制级漏洞利用与进程操作

本次讨论重点在于二进制级漏洞利用的具体实现方式，首先介绍了通过编写能够弹出消息框的代码作为示例，强调了此类代码的通用性和潜在危害性。特别指出，能够触发消息框意味着攻击者可以进一步执行更多操作，如读取文件、访问网络或注册表等。此外，探讨了获取进程地址、动态链接库地址以及利用这些信息进行更深层次攻击的方法。讨论以检查导出表结构和模拟系统API调用来结束，突出了get_process_address方法的重要性及其在编写外壳代码和共享代码中的应用。

更多精彩内容关注下方公众号：逆向有你

个人微信：nixiangyn

教程合集下载：

https://docs.qq.com/sheet/DUHNQdlRUVUp5Vll2?tab=443vnl