获取IAT里的函数地址并修改

最新推荐文章于 2020-12-29 16:43:38 发布
最新推荐文章于 2020-12-29 16:43:38 发布
阅读量7.6k 收藏 1
点赞数
分类专栏: 杂类 文章标签: descriptor image import null dll header
/* 1 */HANDLE hCurrent = GetModuleHandle(NULL);
/* 2 */IMAGE_DOS_HEADER *pidh;
/* 3 */IMAGE_NT_HEADERS *pinh;
/* 4 */IMAGE_DATA_DIRECTORY *pSymbolTable;
/* 5 */IMAGE_IMPORT_DESCRIPTOR *piid;
 
/* 6 */pidh = (IMAGE_DOS_HEADER *)hCurrent; 
/* 7 */pinh = (IMAGE_NT_HEADERS *)((DWORD)hCurrent + pidh->e_lfanew);
/* 8 */pSymbolTable = &pinh->OptionalHeader.DataDirectory[1];
/* 9 */piid =(IMAGE_IMPORT_DESCRIPTOR *)((DWORD)hCurrent +  pSymbolTable->VirtualAddress);
/*10 */do {
/*11 */    IMAGE_THUNK_DATA *pitd,*pitd2;
/*12 */    pitd = (IMAGE_THUNK_DATA *)((DWORD)hCurrent + piid->OriginalFirstThunk);
/*13 */    pitd2 = (IMAGE_THUNK_DATA *)((DWORD)hCurrent + piid->FirstThunk);
/*14 */    do {
/*15 */ IMAGE_IMPORT_BY_NAME *piibn;
/*16 */ piibn = (IMAGE_IMPORT_BY_NAME *)((DWORD)hCurrent +  *((DWORD *)pitd));
/*17 */ PROC *ppfn = (PROC *)(pitd2->u1.Function);
/*18 */ if (!strcmp("MessageBoxW",(char *)piibn->Name)) {
/*19 */     oldMsg = (MsgBoxType)(ppfn);
/*20 */     DWORD addr = (DWORD)MyMessage;
/*21 */     DWORD written = 0;
      /* 改变内存读写状态 */
/*22 */     DWORD oldAccess;
/*23 */     VirtualProtect(&pitd2->u1.Function,sizeof(DWORD),PAGE_WRITECOPY,&oldAccess);
/*24 */     APIAddress = (DWORD)&pitd2->u1.Function;
      /* 向内存映像写入数据 */
/*25 */     WriteProcessMemory(GetCurrentProcess(),&pitd2->u1.Function, &addr,sizeof(DWORD), &written);
/*26 */ }
/*27 */ pitd++;pitd2++;
/*28 */    } while (pitd->u1.Function);
 
/*29 */    piid++;
/*30 */} while (piid->FirstThunk + piid->Characteristics 
  + piid->ForwarderChain + piid->Name + piid->TimeDateStamp);








HANDLE hMap;
switch (reason) {
    case DLL_PROCESS_ATTACH:
    /*创建/打开共享内存区域*/
    hMap = CreateFileMapping((HFILE *)0xFFFFFFFF,NULL,PAGE_READWRITE,0,sizeof(GLOBALDATA),ID_MAP);
    pg_data = (GLOBALDATA*)MapViewOfFile(hMap,FILE_MAP_ALL_ACCESS,0 ,0 ,0);
    if (!pg_data) {
 MessageBox(NULL,"无法建立共享内存,程序终止!",szApp,MB_OK);
 if (hMap) {
     CloseHandle(hMap);
     hMap = NULL;
     return 0;
       }
    }
    pg_data->hInst = hInst;
    showerr("共享内存映像文件");
    showerr("DLL装载中...",FALSE);
    break;
    case DLL_PROCESS_DETACH:
    if (pg_data) {
        UnmapViewOfFile(pg_data);
 pg_data = NULL;
    }
    if (hMap) {
 CloseHandle(hMap);
 hMap = NULL;
     }
    break;
}
stonesharp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++获取当前进程IAT的方法
09-04
主要介绍了C++获取当前进程IAT的方法,实例讲述了IAT(导入地址表)的获取方法,在Windows应用程序开发中有着非常实用的应用价值,需要的朋友可以参考下
WINCE程序IAT函数查看源码
07-02
如果我们对某个WINCE程序实现的功能比较好奇,想知道他是怎么实现的,我们可以用DUMPBIN去查它的IAT,看它到底导入了那些函数。 WINCE下IAT一般只有Original而灭有函数名,看起来很不方便。 我写了个工具可以根据...
PE文件中的IAT和IET
learn112的博客
12-29 969
PE文件中的IAT和IET IAT IAT中文名叫导入地址表 在IAT中存放的是导入的函数的RVA数组,每个元素对应一个函数地址(RVA) 通过这个RVA即可找到导入函数的位置 所以说我们必须先知道IAT在哪 1.找到可选头结构体的最后一个成员 可选头结构体的最后一个成员是DataDirectory 它是一个结构体数组 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE M
手动确定IAT地址与大小
weixin_33725722的博客
07-08 197
from:[url]http://bbs.chinapyg.com/viewthread.php?tid=24623[/url] 当我们找到OEP后,用ImportREC的“IATAutoSearch”按钮,一般情况下ImportREC可以自动识别出IAT地址与大小。但如果不能自动识别,就必须手动确定IAT地址与大小,然后将IAT的RVA与Size填进ImportRE...
WindowsAPI解析IAT地址
迪迦 • 奥特曼
09-18 273
#include <stdio.h> #include <windows.h> int main(int argc,char* argv[]){ /* typedef struct _IMAGE_IMPORT_DESCRIPTOR { union{ DWORD Characteristics; ...
深入游戏变速底层原理以及内核变速的实现
热门推荐
yaoyutian的博客
05-19 1万+
前言 当你接触了一款叫做“变速齿轮”的软件,你可以玩上一整个星期。因为它实在是太酷炫了,无论网页(Flash、HTML5)、还是小软件,又或者是单机游戏,他总能给你惊喜,唯独网游不能!那么我们今天就来探究一下变速原理,并且我们试试看,能不能写出一个更牛逼的变速软件。 我们本章节内容大致如下图: 变速原理探究 变速齿轮(GearNT 0.46) 原理 我们拿个经典的变速软件开刀,...
变速齿轮原理
weixin_34375233的博客
03-12 3871
变速齿轮原理是,游戏在刷新画面时会用到时钟来控制刷新速度,有过游戏开发的人都知道,一般游戏锁定1秒30帧,这样会很流畅,人眼有视觉停顿,当速度达到1秒16帧的时候,就是在跑动画了,游戏用到的计时器有大部分是两个windows提供的api函数,一个是::GetTickCount,一个是::timeGetTime,这两个api的原型请查msdn,我们利用hook api 去修改它的值,从而改变游戏速度...
获取当前进程的IAT
小驹的专栏
06-14 1430
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
IAT.rar_IAT_iat 注入
09-21
IAT注入,可自动读取PE文件添加自己的DLL函数命令 模块非自己编写 但经过本人优化,和BUG修正
(转)替换 IAT 中的导入函数地址实现 Hook API
05-27
替换 IAT 中的导入函数地址实现 Hook API
易语言IAT和EAT Hook例程纯源码
05-19
易语言IAT和EAT Hook例程纯源码
Delphi IATHook API
10-09
Delphi的IAT API Hook 算還沒完成 但已經可以實現Hook了 還沒搞定CreateRemoteThread 所以只能修改自己得IAT(好爛)
变速齿轮原理深入解析及源码分析
12-26
变速齿轮原理深入解析及源码分析变速齿轮原理深入解析及源码分析
通过修改DLL文件的IAT表(函数导入表)来实现api hook的源码
03-28
一个通过修改DLL文件的IAT表来实现的hook开发包源码
大学物理册答案上下都有
04-26
大学物理册答案上下都有
UWB超宽带信道研究及源码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Suno AI语音技术的资源描述
04-26
Suno AI 是一家领先的人工智能(AI)公司,专注于开发创新的语音技术和解决方案。以下是关于 Suno AI 的资源描述: 语音识别技术:Suno AI 拥有先进的语音识别技术,能够准确地将语音转换为文本。他们的语音识别系统经过了大量的训练和优化,具有高度的准确性和鲁棒性,可应用于多种场景,如语音助手、语音搜索、智能客服等。 语音合成技术:除了语音识别,Suno AI 还致力于开发自然、流畅的语音合成技术。他们的语音合成系统能够生成高质量、逼真的语音输出,可以用于语音助手、自动化客服、有声书等领域。 智能语音应用开发:Suno AI 提供了一系列工具和平台,帮助开发者快速构建和部署智能语音应用。他们的开发工具包括 API 接口、SDK、开发文档等,支持多种编程语言和平台,让开发者可以轻松地集成语音功能到自己的应用中。 行业解决方案:Suno AI 为各行各业提供定制化的语音解决方案,满足客户特定的需求和业务场景。他们与零售、金融、医疗等领域的企业合作,提供智能语音客服、语音导航、语音支付等解决方案,帮助客户提升服务质量和效率。
基于matlab的射线信道模型内含数据集.zip
最新发布
04-26
基于matlab的射线信道模型内含数据集.zip
获取IAT表中的函数地址
06-01
获取IAT表中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入表(Import Table),获取导入表的 RVA 和 Size 3. 遍历导入表中的每一个导入描述符(Import Descriptor) 4. 对于每一个导入描述符,获取其名称表(Name Table)的 RVA 和 Size,以及导入地址表(Import Address Table,也称为IAT)的 RVA 5. 遍历导入地址表中的每一个函数地址,即可获取IAT表中的函数地址。 下面是伪代码实现: ```C++ // 获取PE文件基地址 HMODULE hModule = GetModuleHandle(NULL); // 获取导入表 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hModule + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); DWORD dwImportSize = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size; // 遍历导入表 while (pImportDesc->Name != 0) { // 获取名称表和IAT表 PIMAGE_THUNK_DATA pNameTable = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->OriginalFirstThunk); PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->FirstThunk); // 遍历IAT表中的每一个函数地址 while (pNameTable->u1.AddressOfData != 0) { // 获取函数名称 PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + pNameTable->u1.AddressOfData); LPCSTR lpFunctionName = (LPCSTR)pImportByName->Name; // 获取函数地址 FARPROC fpFunction = (FARPROC)pIat->u1.Function; // 处理函数地址 // ... // 下一个函数 pNameTable++; pIat++; } // 下一个导入描述符 pImportDesc++; } ``` 注意:在遍历导入表时,需要检查导入描述符的 Name 字段是否为 0,以判断是否到达导入表的末尾。在遍历IAT表时,需要检查名称表中的 AddressOfData 字段是否为 0,以判断是否到达IAT表的末尾。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值