定位未导出的函数地址(SHCreateProcess)

最新推荐文章于 2023-05-26 23:28:21 发布
最新推荐文章于 2023-05-26 23:28:21 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: Windows API Hook 文章标签: API Hook API钩子 CreateProcess windows7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myjisgreat/article/details/46478303
版权
本文介绍了如何在Windows 7 64位系统中,通过栈回朔技术定位未导出的函数SHCreateProcess的地址。通过Hook CreateProcessW并跟踪调用者,结合Windbg和特定的搜索策略,找到SHCreateProcess的大概位置,并通过特征码搜索最终确定其地址。在32位和64位环境下采用了不同的方法。
摘要由CSDN通过智能技术生成


定位未导出的函数地址(SHCreateProcess)

搬运自我的百度空间,文章基于windows7 64位

     

    我们要Hook shell32.dllSHCreateProcess这个函数,苦于他没有被导出,也无从知道地址。

    其实我们还是有办法的。windbg有功能叫做栈回朔技术,可以看到函数的调用者,函数的调用者的调用者,函数的调用者的调用者的调用者。。。。。。。。。。。。。。。。。。(略过1000字)

    原理是什么呢?我们知道函数的调用是靠栈来完成的,每当调用一个函数,都会把函数的返回地址存入栈中。

    windbg就是看栈中的返回地址来确定调用者的。

    好,铺叙完毕。看看SHCreateProcess这个函数,他的地址我们虽然不知道,但是我们知道他会调用CreateProcessW,那我们HookCreateProcessW后,假装调用ShellExecute(内部会使用SHCreateProcess函数),回朔调用者,就能得到SHCreateProcess的大致地址了(因为得到的是CreateProcessW返回到SHCreateProcess内部的地址,而不是SHCreateProcess的首地址,所以我说是“大致地址”)。

     

    (2016-8-3更新:有朋友私信问我SHCreateProcess的原型,我当时在网上搜得到,现在看了看好像找不到了,还好我的工程里还有,定义如下:

    typedef  int (__stdcall *PSHCreateProcess)(int p1,HANDLE hToken,wchar_t *lpApplicationName,wchar_t * lpCommandLine,DWORD dwCreationFlags,LPSECURITY_ATTRIBUTES lpProcessAttributes,LPSECURITY_ATTRIBUTES lpThreadAttributes,BOOL bInheritHandles,LPVOID lpEnvironment,LPCWSTR lpCurrentDirectory,LPSTARTUPINFOW lpStartupInfo,LPPROCESS_INFORMATION lpProcessInformation,int p2,char p3,int p4);

    <

    最低0.47元/天 解锁文章
    myjisgreat
    关注
    专栏目录
    驱动SSDT导出函数NtReadVirtualMemory.rtf
    08-05
    windows10获取SSDT导出函数NtReadVirtualMemory详细步骤和代,其他导出函数同理
    寻找导出函数函数地址
    weixin_30433075的博客
    04-19 435
    今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
    获取导出的内核函数地址
    09-10 2098
    使用导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
    内核特征搜索 获取导出函数
    zhuhuibeishadiao
    06-19 3775
    无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
    native层函数没有导出时,如何获得相应函数地址
    最新发布
    学海无涯
    05-26 685
    每次App重新运行后native函数加载的绝对地址是会变化的,唯一不变的是函数相对于基地址的偏移,因此我们可以在获取模块的基地址后加上固定的偏移地址获取相应函数地址,Frida中也正好提供了这种方式:先通过Module.findBaseAddress(name)或Module.getBaseAddress(name)两个API函数获取对应模块的基地址,然后通过add(offset)函数传入固定的偏移offset获取最后的函数绝对地址。以下使用中的作为具体案例讲解下思路和注意的点。
    x64位DLL接口导出函数查看器
    07-01
    在实际使用过程中,通过这个查看器,开发者可以方便地定位到某个函数的实现,检查是否有定义的导出函数,或者找出可能导致程序崩溃的原因。此外,对于系统管理员而言,这个工具可以帮助他们检查系统的完整性,确保...
    详解C++ 动态库导出函数名乱及解决
    08-26
    C++ 动态库导出函数名乱及解决 C++ 动态库导出函数名乱是一个常见的问题,在 C++ 中,动态库导出函数名会被修改,使得函数名变得难以识别。今天我们将详解 C++ 动态库导出函数名乱及解决。 一、C++ 动态库...
    cvi 解析PE文件获取导出函数表和虚拟地址
    09-01
    通常,导出函数表由一个导出目录结构体开始,其中包含指向函数名称数组、函数地址数组和序号数组的指针。 虚拟地址则是程序在内存中的实际地址,它不同于磁盘上的物理地址。在PE文件中,每个节都有自己的虚拟地址,...
    Dependency Walker动态库导出函数查看器
    04-06
    Dependency Walker可以帮助定位这些问题,因为它会显示所有必要的DLL及其对应的导出函数。 2. **理解库功能**:查看DLL导出函数列表,可以快速掌握该库提供的服务,这对于理解和使用第三方库尤其有用。 3. **...
    动态取得Ntoskrnl.exe导出函数地址
    04-23
    动态取得Ntoskrnl.exe导出函数地址
    inline hook导出函数PspTerminateProcess
    04-14 1601
    之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
    widnbg中看到的dll中的函数并不一定就是导出函数
    ma_de_hao_mei_le的博客
    08-26 382
    对于这种情况,我们需要针对特定的版本使用偏移量来获取到该函数地址。这个是在windbg中查看ntdll.dll函数的输出。命令可以看到当前进程加载的ntdll.dll的绝对路径。首先要获取到dll加载的虚拟内存的基地址。...
    drv experiment : 从内核API定位函数地址或结构指针地址
    谢绝(无视)留言与私信
    06-20 2054
    用WinDbg看已经导出的内核API, 如果看到需要的导出函数调用或想直接从汇编代定位那个API地址, 可以定位 CALL指令中导出函数地址. 导出函数地址 = 已经导出的内核API地址 + 计算出的 硬编偏移. 得到已经导出的内核API地址 PVOID GetKernelApiAddress(wchar_t * pcApiName) { UN
    win10 x64获取导出内核函数地址
    吾无法无天的博客
    03-18 2009
    用Sunday算法进行特征匹配 .h文件: //系统信息类 typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation = 0, //系统的基本信息 SystemProcessorInformation, // obsolete...delete SystemPerformanceI...
    获取windows导出函数地址标准方法
    CoderAldrich的专栏
    03-09 1930
    http://www.4hou.com/system/10590.htmlhttps://msdn.microsoft.com/zh-cn/library/ms679291.aspxhttps://bbs.pediy.com/thread-188881.htmhttps://bbs.pediy.com/thread-189324.htm 
    获取内核导出函数地址
     ̄Newly_Coder's | Notes
    12-13 3550
    ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature) { NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
    告别硬编-发个获取导出函数地址Dll及源
    weixin_30338743的博客
    08-08 195
    还在为找内核导出函数地址而苦恼嘛? 还在为硬编通用性差而不爽吗? 还在为暴搜内核老蓝屏而痛苦吗? 请看这里: 最近老要用到内核导出函数及一些结构,不想再找特征了,准备到网上找点符号文件解析的代抄抄,也玩玩符号文件解析获取导出函数,可惜资料寥寥无 几,下了一些代,发觉编译后问题不断,有的编译通过了却取不到任何地址,弄了半天白弄了,于是静下心来看dbghelp的说明文件(...
    你知道什么是Windows内核导出函数
    02-27
    Windows内核导出函数指的是操作系统内核中的函数,但是它们并没有被包含在操作系统导出函数列表中。这些函数是在操作系统内部使用的,通常不能从外部访问。但是,这些导出函数可以通过内存中的偏移地址来调用。一些黑客和恶意软件利用导出函数来实现对操作系统的攻击。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值