[求助]如何能够用程序知道一个exe有是么函数（signature）和函数的地址？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 2 楼大家倒是帮帮忙啊 2008-10-15 23:02 0
doubleone 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 178 粉丝 1 关注私信	doubleone 3 楼用PE exproler 打开 2008-10-16 11:03 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 4 楼 PE 主要看import and export函数能看内部的不export的函数吗？ 2008-10-16 22:27 0
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 5 楼 pe文件内部的函数要怎么查看？要找到所有的内部函数基本不大现实吧，关键是没有内部函数表之类的东西，如果真的想找的话用od调试可能还能找到一部分，呵呵，我新手，不知道说的对不对 2008-10-17 00:34 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼我不太明白你的问题， IDA确实可以分析出除导入导出表之外的函数，而这些函数可不是程序员自定的函数，是那些常用的库函数，最简单的例子，比如C库的 strcpy(),你如果将其静态连接到程序中，IDA是可以将这段代码识别出来，并且给出调用参数的注释等，我想它是通过特征码识别的，根据我使用过的经验，一般常用c库都可以识别，像BCB和Delphi的支持库函数也都能认出来。当然如果你自己写个什么函数，而这个函数没有导出，编译链接后的程序也不带调试用的符号表，那么IDA是根本不知道你的函数名的，它只会给你个类似 sub_004e30f3 之类的无意义的标识符。不知道你说的是这个问题不是。 2008-10-17 02:35 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 7 楼 Yes, IDA能够分析出来函数并且制造一个虚拟的函数名比如象你所说的sub_004e30f3，我所想知道的就是如何能用程序分析出函数和函数的接口，其实名字不重要。不知道能吗？ 2008-10-17 22:47 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 8 楼让我再表达的清楚一些，假如你要hook一个dll的函数，如果它是exported的，我们可以使用getprocaddress去拿到它的地址，然后再进行hook, 如果不是exported的，我们就必须通过反汇编去找到这个函数的地址，然后hard code 这个地址去hook。如果dll被重新的编译或者修改，那么我们还是要手工的去找到它的地址，这其实就是我要想解决的问题。有没有办法我知道这个函数的接口，然后自动的找到这个函数，当然前提是没有很多的接口相同的函数存在。 2008-10-18 03:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 2 楼大家倒是帮帮忙啊 2008-10-15 23:02 0
doubleone 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 178 粉丝 1 关注私信	doubleone 3 楼用PE exproler 打开 2008-10-16 11:03 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 4 楼 PE 主要看import and export函数能看内部的不export的函数吗？ 2008-10-16 22:27 0
zcUDer 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 69 粉丝 0 关注私信	zcUDer 5 楼 pe文件内部的函数要怎么查看？要找到所有的内部函数基本不大现实吧，关键是没有内部函数表之类的东西，如果真的想找的话用od调试可能还能找到一部分，呵呵，我新手，不知道说的对不对 2008-10-17 00:34 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼我不太明白你的问题， IDA确实可以分析出除导入导出表之外的函数，而这些函数可不是程序员自定的函数，是那些常用的库函数，最简单的例子，比如C库的 strcpy(),你如果将其静态连接到程序中，IDA是可以将这段代码识别出来，并且给出调用参数的注释等，我想它是通过特征码识别的，根据我使用过的经验，一般常用c库都可以识别，像BCB和Delphi的支持库函数也都能认出来。当然如果你自己写个什么函数，而这个函数没有导出，编译链接后的程序也不带调试用的符号表，那么IDA是根本不知道你的函数名的，它只会给你个类似 sub_004e30f3 之类的无意义的标识符。不知道你说的是这个问题不是。 2008-10-17 02:35 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 7 楼 Yes, IDA能够分析出来函数并且制造一个虚拟的函数名比如象你所说的sub_004e30f3，我所想知道的就是如何能用程序分析出函数和函数的接口，其实名字不重要。不知道能吗？ 2008-10-17 22:47 0
taotao_su 雪币： 99 活跃值： (364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	taotao_su 8 楼让我再表达的清楚一些，假如你要hook一个dll的函数，如果它是exported的，我们可以使用getprocaddress去拿到它的地址，然后再进行hook, 如果不是exported的，我们就必须通过反汇编去找到这个函数的地址，然后hard code 这个地址去hook。如果dll被重新的编译或者修改，那么我们还是要手工的去找到它的地址，这其实就是我要想解决的问题。有没有办法我知道这个函数的接口，然后自动的找到这个函数，当然前提是没有很多的接口相同的函数存在。 2008-10-18 03:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复