自己实现GetProcAddress 实战中方便抹掉导入表 自己重建IAT让别人看不到符号

最新推荐文章于 2023-07-19 16:27:59 发布
最新推荐文章于 2023-07-19 16:27:59 发布
阅读量368 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ADADQDQQ/article/details/118768117
版权
本文档介绍了一个C++实现的函数`MyGetProcAddress`,用于获取Windows API函数地址。它通过解析PE文件结构,遍历DLL的导出表来查找指定函数或序号对应的地址。如果函数地址超出模块基址加导入表的VirtualAddress,说明这是一个转发地址,需要递归调用`GetProcAddress`获取实际地址。
摘要由CSDN通过智能技术生成

根据导出表实现:GetProcAddress
注意:如果最后出现得函数地址>模块基址+导入表.VirtualAddress得话 则该地址是个字符串 字符串里面有dll和函数名 因为他是个转发地址 需要再调用GetProcAddress去进行获取

GetProcAddress(模块,序号-Base)
1.DWORD dwAddress=(DWORD)AddressOfFunctions[序号]+模块基址;

GetProcAddress(模块,名称)
1.遍历(!strcmp(AddressOfName[i],名称))相等后取出i的下标
2.WORD wOrdinals=AddressOfNameOrdinals[i];
3…DWORD dwAddress=(DWORD)AddressOfFunctions[wOrdinals]+模块基址;

#include <windows.h>
#include
using namespace std;

IMAGE_DOS_HEADER DOS;
IMAGE_FILE_HEADER PE;
IMAGE_OPTIONAL_HEADER OPTIONAL1;
IMAGE_SECTION_HEADER SECTIONS[96];
IMAGE_IMPORT_DESCRIPTOR DESCRIPTOR;
IMAGE_EXPORT_DIRECTORY ExPort;

int  Mystrcmp(char* szBuff1, char* szBuff2)
{
   
    int nCount1 = 0;
    int nCount2 = 0;
    char* r1 = szBuff1;
    char* r2 = szBuff2;
    while (*r2 != 0)
    {
   
        if (*r1 == 0)
        {
   
            r2++;
            nCount2++;
            continue;
        }
        if (*r1 > *r2)
        {
   
            nCount1++;
        }
        else if (*r2 > *r1)
        {
   
            nCount2++;
        }
        else
        {
   
            nCount1++ ;
            nCount2++;
        }
        r1++;
        r2++;
    }
    if (nCount1 == nCount2)
    {
   
        return 0;
    }
    {
   
        return 1;
    }
    else
    {
   
        return -1;
    }
}

FARPROC MyGetProcAddress(
    HMODULE hModule, // DLL模块句柄
    LPCSTR lpProcName // 函数名
)
{
   
    if (hModule == NULL)
    {
   
        return 0;
    }
    //DOS
    DWORD Offset =
最低0.47元/天 解锁文章
ADADQDQQ
关注
专栏目录
自定义实现GetProcAddress函数
Reverser的专栏
05-28 1429
自定义实现GetProcAddress函数
WinAPI: GetProcAddress实现
AKe's blog
10-20 1119
;***************************************************************************************** ;const void* __stdcall GetAPIAddr(const void* hModule,const char* lpszProcName) ;等价于 const void* __stdcall Ge
自己实现GetProcAddress
liuhaidon1992的博客
06-12 853
DWORD MyGetProcAddress( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // function name ) { int i=0; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_E..
GetProcAddress
weixin_30883777的博客
10-09 934
GetProcAddress 显式链接到 DLL 的进程调用 GetProcAddress 来获取 DLL 导出函数的地址。使用返回的函数指针调用 DLL 函数。GetProcAddress 将(由 LoadLibrary、AfxLoadLibrary 或 GetModuleHandle 返回的)DLL 模块句柄和要调用的函数名或函数的导出序号用作参数。 ...
GetProcAddress 实现
x
07-29 352
没用的C代码 根据导出查找函数名 #define _CRT_SECURE_NO_WARNINGS #include <Windows.h> #include <iostream> using std::cout; using std::endl; void * getExportApi(DWORD base_addr ,const char * api_name) { if (0 == base_addr || 0 == api_name) return 0;
解析导入IAT
hambaga的博客
05-21 1825
一、导入的结构 导入的结构看起来复杂,其实只是套娃,不要被它吓到了。 导入的定义如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA to original unbo
iat输入hook的源码
09-14
在Windows操作系统IAT(Import Address Table,导入地址)是动态链接库(DLL)加载时使用的一个关键数据结构。它存储了程序在运行时需要调用的外部函数的地址。IATHook技术是一种常用的系统钩子技术,用于拦截...
如何调用dll的函数.rar_GetProcAddress dll_LoadLibrary vc_调用DLL的函数_调用D
07-14
示范如何使用 LoadLibrary(...) 和 GetProcAddress(....)调用dll的输出函数.
还原x64跨进程"GetModuleHandle+GetProcAddress"实现过程(纯内存)
最新发布
06-25
本文将深入探讨一个具体的x64架构下的跨进程实现方法,即通过"GetModuleHandle"和"GetProcAddress"函数来动态获取并执行其他进程的函数。这种方法在纯内存环境尤其适用,因为不需要依赖任何文件系统交互。 首先...
完美实现自己的GetProcAddress函数
关注互联网安全的小虾米一枚
07-28 4826
作 者: blueapplez 我们知道kernel32.dll里有一个GetProcAddress函数,可以找到模块的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress( IN HMODULE hModule, IN LPCSTR lpProcName ); hModule 是模块的句柄,说白了就是内存dl
GetProcAddress模拟函数
04-19
GetProcAddress模拟系统GetProcAddress可以躲避为杀毒软件进行GetProcAddress钩子。
Smart GetProcAddress实现
穷途末路
05-06 628
Windows下有过编程经验的朋友肯定用过这个函数:GetProcAddress,作用呢,就是从加载的动态库获取指定函数名的函数入口地址,函数使用方法简单,一般是如下流程: DLL导出函数的头文件:dll.h void WINAPI func1(int); void WINAPI func2(int,int); 动态加载DLL调用上面两个函数
解析导入及自实现GetProcAddress
weixin_50217210的博客
07-19 243
对PE结构的导出进行解析
GetProcAddress用法
热门推荐
nemo2011的专栏
09-05 2万+
函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)的输出库函数地址。 函数原型: FARPROC GetProcAddress(   HMODULE hModule,    // DLL模块句柄   LPCSTR lpProcName   // 函数名 ); 参数: hModule    [in] 包含此函数的DLL模块的句柄。LoadLibra
GetProcAddress()函数
好好学习
01-07 793
GetProcAddress()函数的作用
VC6.0实现不规则窗体与透明效果的实用函数
它通过动态链接库(DLL)的`SetLayeredWindowAttributes`函数来改变窗口的不透明度级别,参数`bAlpha`控制透明度的强度,范围通常在0(完全透明)到255(完全不透明)。通过调用`LoadLibrary`和`GetProcAddress`来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值