0
EAT有人建議可以使用Python我怎麼能得到導入地址表 和導出地址表形式的PE?我目前使用pefile模塊,但不知道我可以使用它獲得IAT和EAT。 非常感謝您的幫助。獲取IAT和PE
Q
獲取IAT和PE
A
回答
1
的documentation介紹瞭如何做到這一點:
清單中的導入符號
每個目錄,如果在PE文件中存在正在處理,已在PE實例的條目爲DIRECTORY_ENTRY_directoryname。導入的符號可以如下:
# If the PE file was loaded using the fast_load=True argument, we will need to parse the data directories:
pe.parse_data_directories()
for entry in pe.DIRECTORY_ENTRY_IMPORT:
print entry.dll
for imp in entry.imports:
print '\t', hex(imp.address), imp.name
輸出
comdlg32.dll
0x10012A0L PageSetupDlgW
0x10012A4L FindTextW
0x10012A8L PrintDlgExW
[snip]
SHELL32.dll
0x1001154L DragFinish
0x1001158L DragQueryFileW
清單導出的符號
類似地,導出的符號可以列出如下:
for exp in pe.DIRECTORY_ENTRY_EXPORT.symbols:
print hex(pe.OPTIONAL_HEADER.ImageBase + exp.address), exp.name, exp.ordinal
輸出
0x7ca0ab4f SHUpdateRecycleBinIcon 336 0x7cab44c0 SHValidateUNC 173 0x7ca7b0aa SheChangeDirA 337 0x7ca7b665 SheChangeDirExA 338 0x7ca7b3e1 SheChangeDirExW 339 0x7ca7aec6 SheChangeDirW 340 0x7ca8baae SheConvertPathW 341
相關問題
- 1. 在pe header中打印iat
- 2. 如何解決來自PE上IAT的轉發API?
- 3. NodeJs jsonwebtoken計算「iat」和「exp」
- 4. PE格式:爲什麼IAT可以爲空,而MS繞行走神話
- 5. 什麼時候PE文件格式IAT函數地址得到設置
- 6. IAT掛接Internet Explorer
- 7. pandas .iloc和.iat之間的區別?
- 8. 調試符號和PE
- 9. jta和非jta在pe
- 10. C++手動定義IAT
- 11. IAT/EAT掛鉤「的gethostbyname」
- 12. 獲取.text段碼PE文件格式的偏移量? VirtualAddress,PointerToRawData?
- 13. WinDbg - 獲取最後加載的PE地址到別名中
- 14. 從PE導入表中獲取DLL的完整路徑
- 15. 從16位PE讀取內存地址
- 16. 從PE文件中提取字符串
- 17. 讀取C中的PE文件
- 18. C#從本地PE中提取資源
- 19. Windows PE資源
- 20. PE驗證碼?
- 21. PE .idata部分
- 22. 加入PE
- 23. Pe編輯庫?
- 24. Iat和exp不存在於js Web令牌
- 25. IAT掛鉤 - 無法掛鉤ExitProcess
- 26. IAT掛鉤ExitProcess自己的過程
- 27. 掛鉤IAT地址不正確
- 28. IAT-物理地址中的dll指針?
- 29. DLL如何解決它的IAT?
- 30. 任何讀取和寫入二進制文件格式(PE和ELF)的庫?