GetProcAddressEx跨进程获取导出函数地址

原创 已于 2023-11-01 23:38:00 修改 · 3.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

于 2012-12-06 21:07:09 首次发布

没什么新技术,就是把目标进程的内存读过来分析而已。

代码在x86下测试通过,由于手头没有x64系统,希望热心的朋友测试一下x64的兼容性,可能不兼容的地方已经在代码中标出。

PVOID GetProcAddressEx(HANDLE hProc, HMODULE hModule, LPCSTR lpProcName)
{
	PVOID pAddress = NULL;
	SIZE_T OptSize;
	IMAGE_DOS_HEADER DosHeader;
	SIZE_T ProcNameLength = lstrlenA(lpProcName) + sizeof(CHAR);//'\0'

	//读DOS头
	if (ReadProcessMemory(hProc, hModule, &DosHeader, sizeof(DosHeader), &OptSize))
	{
		IMAGE_NT_HEADERS NtHeader;

		//读NT头
		if (ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + DosHeader.e_lfanew), &NtHeader, sizeof(NtHeader), &OptSize))
		{
			IMAGE_EXPORT_DIRECTORY ExpDir;
			SIZE_T ExportVirtualAddress = NtHeader.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

			//读输出表
			if (ExportVirtualAddress && ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + ExportVirtualAddress), &ExpDir, sizeof(ExpDir), &OptSize))
			{
				if (ExpDir.NumberOfFunctions)
				{
					//x64待定:地址数组存放RVA的数据类型是4字节还是8字节???
					SIZE_T *pProcAddressTable = (SIZE_T *)GlobalAlloc(GPTR, ExpDir.NumberOfFunctions * sizeof(SIZE_T));

					//读函数地址表
					if (ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + ExpDir.AddressOfFunctions), pProcAddressTable, ExpDir.NumberOfFunctions * sizeof(PVOID), &OptSize))
					{
						//x64待定:名称数组存放RVA的数据类型是4字节还是8字节???
						SIZE_T *pProcNamesTable = (SIZE_T *)GlobalAlloc(GPTR, ExpDir.NumberOfNames * sizeof(SIZE_T));

						//读函数名称表
						if (ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + ExpDir.AddressOfNames), pProcNamesTable, ExpDir.NumberOfNames * sizeof(PVOID), &OptSize))
						{
							CHAR *pProcName = (CHAR *)GlobalAlloc(GPTR, ProcNameLength);

							//遍历函数名称
							for (DWORD i = 0; i < ExpDir.NumberOfNames; i++)
							{
								if (ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + pProcNamesTable[i]), pProcName, ProcNameLength, &OptSize))
								{
									if (RtlEqualMemory(lpProcName, pProcName, ProcNameLength))
									{
										//x64待定:函数在地址数组索引的数据类型是2字节还是???
										WORD NameOrdinal;

										//获取函数在地址表的索引
										if (ReadProcessMemory(hProc, (PVOID)((SIZE_T)hModule + ExpDir.AddressOfNameOrdinals + sizeof(NameOrdinal) * i), &NameOrdinal, sizeof(NameOrdinal), &OptSize))
										{
											pAddress = (PVOID)((SIZE_T)hModule + pProcAddressTable[NameOrdinal]);
										}
										break;//for
									}
								}
							}
							GlobalFree(pProcName);
						}
						GlobalFree(pProcNamesTable);
					}
					GlobalFree(pProcAddressTable);
				}
			}
		}
	}
	return pAddress;
}

为什么GetProcAddress返回值总为0?[解决方案]
weixin_43742894的博客
04-09 4649
相信很多人在显式调用dll中函数的时候,会遇到相同的问题: 就是我们loadlibrary成功后,明明调用的函数也是正确的,但是GetProcAddress地址总是为0!不能获得正确的函数地址。 出错示例 我们先来看我这次出错的示例: DLL部分 __declspec(dllexport) BOOL xxxxxxx(); xxxxxx() { xxxxxxx; } exe调用dll部分 HMODULE hInst; hInst = LoadLibrary(L"Dll1.dll"); if (NU
获取进程中导入表函数地址
12-16
普通PE工具,可以静态查看导入函数的名字,和编号。这个项目可以实现查看,导入函数地址。(主要是技术方面的讨论)
通过导出表和函数获取特定进程下模块的导出函数地址
吾无法无天的博客
04-24 2289
需要的头文件: #include<windows.h> #include<iostream> #include<Psapi.h> using namespace std; 获取进程下的模块基址: PVOID GetProcessMoudleBase(HANDLE hProcess, char* moduleName) { // 遍历进程模块, HM...
【DLL】【一文搞懂】(四)GetProcAddress函数
此地无银
02-11 1万+
一文搞懂动态库导入,GetProcAddress使用(动态库的显式链接)
GetProcAddress
weixin_30883777的博客
10-09 992
GetProcAddress 显式链接到 DLL 的进程调用 GetProcAddress获取 DLL 导出函数地址。使用返回的函数指针调用 DLL 函数GetProcAddress 将(由 LoadLibrary、AfxLoadLibrary 或 GetModuleHandle 返回的)DLL 模块句柄和要调用的函数名或函数导出序号用作参数。 ...
易语言-eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
06-25
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64...
eWOW64Ext v1.1 - 加载任意 32/64 模块|64 位汇编及进程读写-易语言
06-12
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64...
eWOW64Ext v1.2 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写-易语言
06-12
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64...
Delphi多个DLL共享全局数据Demo
03-20
7. **GetProcAddressGetProcAddressEx**:这些函数允许在运行时动态查找和调用DLL中的函数,提供了一种灵活的方式,特别是在不知道具体DLL实现的情况下。 8. **注册表和配置文件**:为了管理多个DLL间的依赖关系...
GetProcAddress模拟函数
04-19
GetProcAddress模拟系统GetProcAddress可以躲避为杀毒软件进行GetProcAddress钩子。
【Android 逆向】Android 进程代码注入原理 ( 进程注入原理 | 远程调用流程 | 获取函数地址 | 设置 IP 寄存器 | mmap 申请内存 | 设置 SP 寄存器 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-01 1458
一、进程注入原理、 二、远程调用流程 ( 获取 so 动态库地址 | 获取函数地址 | 设置 IP 寄存器 | mmap 申请内存 | 设置 SP 寄存器 )
c语言跨进程回调函数,关于跨进程使用回调函数的研究,以跨进程获取Richedit中RTF流为例...
weixin_32120857的博客
05-25 515
核心提示:uses RichEdit;{$WARN SYMBOL_DEPRECATED OFF}typeTRichEditStreamReader = classprivateFStream: TStream;...uses RichEdit;{$WARN SYMBOL_DEPRECATED OFF}typeTRichEditStreamReader = classprivateFStream: ...
GetProcAddress用法
热门推荐
nemo2011的专栏
09-05 2万+
函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址函数原型: FARPROC GetProcAddress(   HMODULE hModule,    // DLL模块句柄   LPCSTR lpProcName   // 函数名 ); 参数: hModule    [in] 包含此函数的DLL模块的句柄。LoadLibra
GetProcAddress()函数
好好学习
01-07 941
GetProcAddress()函数的作用
获取GetProcAddress函数地址
做一个快乐学习者
10-28 5516
我们都知道,GetProcAddress函数就是从系统文件kernel32.dll中导出的,而kernel32.dll是系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll的基址就可以找到GetProcAddress函数地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值