【汉化资料】改造PE中的函数为导出函数

shane007

1、前言：为什么要这么做
; u2 e! K! m3 v, z% ?很多时候，我们发现一个PE(EXE或DLL)中非常有用且功能独立的函数(call xxxxxxxx)，并且已经知道了这个函数的各个入口参数的类型和具体含义，我们想在其他的软件中使用这个函数。于是，我想到了将这个PE中的函数改成一个导出函数，这样，我们就可以在任何软件中通过“LoadLibrary("ThisPE.EXE")”等API来使用这个函数了。

在汉化中的应用是可以直接调用游戏中的解包，压包函数来解包，压包，以及访问游戏中的文本显示函数等等。。。

8 N5 }6 y; s& q/ v! O$ M6 R  R: S1 A" Q2、技术基础：已经了解PE结构
) T3 G  j5 {- }+ C! K4 O
, D! P7 U$ h" g' \; ?' j/ |3、分类：
- Z" K. s" h! T（1）有导出表的DLL和EXE文件--非常简单
/ {9 t" |3 g. D2 V对于这类PE文件，要简单的多，因为只要修改一下PE中的Export，增加上一个导出函数，并把这个导出函数的入口指向我们要导出的call的调用地址(RVA格式)就可以了。甚至可以更简单的处理：找个不用的导出函数，改一下入口就可以了。
  k0 C4 {  C$ h, F& L（2）没有导出表的EXE文件--稍微复杂
因为大部分EXE文件没有导出表，所以我们必须要给它增加一个导出表。其实也很简单，给EXE增加一个节，并在这个节中按照导出表的格式构造一个导出函数，并将这个函数入口指向我们要导出的call的调用地址的RVA，并在PE头中指出其位置和大小。
4 X! Y( u6 d$ e: y7 q$ [
4、举例说明：
" R2 Q3 {6 d1 L* ]% e; b1 \2 Jtest.exe：ImageBase=0x00400000
发现test.exe 的 0x00408050 处为call 0x0040A012 的 0x0040A012是我们要导出的函数，我们将它导出为MyFunction函数。
* R0 M, \' |, A6 l9 ?
: y  s% i3 B  m+ E' ^（1）给test.exe增加一个节：RVA=0x28000,size=0x1000
（2）构造导出表：
7 M: A0 h# z7 Q* V2 A2 ~+ ?/ MMy_Export_Table dd 0 ;Characteristics
My_TimeDateStamp dd 0 ;TimeDateStamp
dw 0 ;MajorVersion
dw 0 ;MinorVersion
) ^) W8 P5 C1 @, r5 |9 pMy_nName dd My_DLL_nName-ImageBase ;nName
5 Q+ c$ ?5 W3 k* @  n1 h& jdd 1 ;nBase
dd 1 ;NumberOfFunctions
4 K' g$ X) c% ~% Add 1 ;NumberOfNames
My_AddressOfFunctions dd 0x0040A012-ImageBase ;AddressOfFunctions
4 F7 W. @% [* F4 t& v7 U# n1 aMy_AddressOfNames dd My_Fun_Name-ImageBase ;AddressOfNames
My_AddressOfNameOrdinals dd 0 ;AddressOfNameOrdinals
---------------------------------------------------------------------
, ?* k+ z% \) O9 j! G! f7 eMy_Fun_Name db 'MyFunction',0
7 J! \2 N, N' pMy_DLL_nName db 'test.exe',0
6 `3 N: p. Y/ ^
+ |" C' i7 i0 t8 K+ T（3）LoadPe修改PE头，将导出表地址填入0x28000，大小填入0x1000，保存。

3 V3 T5 G' ?8 \& GSpirng.W/2005.3.14
/ w5 _6 o8 m8 G5 r

5 d4 r- M  T* M: K--------------------------------------------------------------------------------