PE知识之实现GetProcAddress

已于 2023-04-29 22:05:50 修改
阅读量259 收藏
点赞数
文章标签: c语言 windows
于 2023-04-29 20:54:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LuciferM_S/article/details/130443497
版权

最近在复习PE结构知识,试着自己实现了一下GetProcAddress

费话不多说,上代码

首先是写一个dll

#include"pch.h"
#include"dll.h"

int fun1(int a, int b) {
	return 1;
}

int fun2() {
	return 2;
}

int fun3() {
	return 3;
}

定义模块导出(为了方便后续观察序号)

LIBRARY
EXPORTS
fun1 @2
fun2 @5
fun3 @3 NONAME

然后简单介绍一下实现原理

其实只是利用了导出表的知识

1.利用名字去找函数地址(假设找fun1)

  • RVA转FOA找到导出名称表,得到一个RVA,这个RVA记录着真正的名称导出表的RVA(套娃),再转到FOA得到字符串数组,记录着导出函数函数的名字。

  • 比较字符串,如果相等,得到这个数组的下标,拿着这个下标去序号表中查对应下标里的值,它的下标为0,注意下序号表数组是WORD类型的
  • 序号表数组里下标为0的值是0,拿着这个0去函数地址表的对应下标去找真正的地址

 2.利用序号去找函数地址

  • 这个就比较简单了,只需要用序号-Base,然后用这个值去函数地址表里找对应下标的值,假设我们找序号为5的函数地址,也就是fun2,下标就为3

 上完整代码

#include<Windows.h>
#include<tchar.h>
#include<iostream>

#define path2 L"C:\\Users\\罗辑\\Desktop\\Dll1.dll"

//通过函数名从导出表中去找函数地址
DWORD GetProcByName(DWORD buf, PCHAR name);
//通过序号从导出表中去找函数地址
DWORD GetProcByOrdinals(DWORD buf, WORD order);

DWORD RVA2FOA(DWORD buf, DWORD RVA) {
	PIMAGE_DOS_HEADER dos_header = PIMAGE_DOS_HEADER(buf);
	PIMAGE_NT_HEADERS nt_header = PIMAGE_NT_HEADERS((DWORD)buf + dos_header->e_lfanew);
	PIMAGE_FILE_HEADER file_header = PIMAGE_FILE_HEADER(&(nt_header->FileHeader));
	PIMAGE_OPTIONAL_HEADER option_header = PIMAGE_OPTIONAL_HEADER(&(nt_header->OptionalHeader));
	PIMAGE_SECTION_HEADER section_header = PIMAGE_SECTION_HEADER(IMAGE_FIRST_SECTION(nt_header));

	for (int i = 0; i < file_header->NumberOfSections; i++) {
		if (RVA >= section_header->VirtualAddress &&
			RVA < section_header->VirtualAddress + section_header->SizeOfRawData) {
			return (RVA - section_header->VirtualAddress + section_header->PointerToRawData);
		}
		section_header++;
	}
	return 0;
}

VOID EnumExport() {
	HANDLE hFile = CreateFile(path2, GENERIC_READ, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	DWORD size = GetFileSize(hFile, NULL);
	LPVOID buf = new char[size] {0};
	DWORD readSize = 0;
	DWORD err_t = ReadFile(hFile, buf, size, &readSize, NULL);
	if (!err_t) {
		return;
	}
	PIMAGE_DOS_HEADER dos_header = PIMAGE_DOS_HEADER(buf);
	PIMAGE_NT_HEADERS nt_header = PIMAGE_NT_HEADERS((DWORD)buf + dos_header->e_lfanew);
	PIMAGE_FILE_HEADER file_header = PIMAGE_FILE_HEADER(&(nt_header->FileHeader));
	PIMAGE_OPTIONAL_HEADER option_header = PIMAGE_OPTIONAL_HEADER(&(nt_header->OptionalHeader));
	PIMAGE_SECTION_HEADER section_header = PIMAGE_SECTION_HEADER(IMAGE_FIRST_SECTION(nt_header));

	DWORD export_table_RVA = option_header->DataDirectory[0].VirtualAddress;
	PIMAGE_EXPORT_DIRECTORY export_table = PIMAGE_EXPORT_DIRECTORY(RVA2FOA((DWORD)buf, export_table_RVA) + (DWORD)buf);

	//函数地址表
	DWORD FunAddress_table = RVA2FOA((DWORD)buf, export_table->AddressOfFunctions) + (DWORD)buf;
	printf("***函数地址****\n");
	for (int i = 0; i < export_table->NumberOfFunctions; i++) {
		printf("0x%08X\n", ((PDWORD)FunAddress_table)[i]);
	}
	//函数名称表
	DWORD NameAddress_RVATable = RVA2FOA((DWORD)buf, export_table->AddressOfNames) + (DWORD)buf;
	DWORD NameAddress = 0;
	printf("***函数名称***\n");
	for (int i = 0; i < export_table->NumberOfNames; i++) {
		NameAddress = RVA2FOA((DWORD)buf, *(PDWORD)NameAddress_RVATable) + (DWORD)buf;
		printf("%s\n", (PCHAR)NameAddress);
		//下一个位置
		NameAddress_RVATable += 4;
	}

	//函数序号表
	DWORD order = RVA2FOA((DWORD)buf, export_table->AddressOfNameOrdinals) + (DWORD)buf;
	printf("***序号表***\n");
	for (int i = 0; i < export_table->NumberOfNames; i++) {
		printf("%d\n", ((PWORD)order)[i] + 1);
	}

	//通过名称找函数(这里得到的是函数RVA,要想得到运行时地址,还需要得到dll的加载基址)
	/*typedef int(*fun)(int a, int b);
	DWORD addfun1 = GetProcByName((DWORD)buf, (PCHAR)"fun1");
	CloseHandle(hFile);
	HMODULE hModule = LoadLibrary(path2);
	addfun1 += (DWORD)hModule;
	fun fun1 = (fun)addfun1;
	int temp = fun1(1, 1);*/

	//通过序号去找函数
	DWORD addfun5 = GetProcByOrdinals((DWORD)buf, 5);

	int a = 0;

}

//通过名字去找函数地址
DWORD GetProcByName(DWORD buf, PCHAR name) {
	//耳熟能详
	PIMAGE_DOS_HEADER dos_header = PIMAGE_DOS_HEADER(buf);
	PIMAGE_NT_HEADERS nt_header = PIMAGE_NT_HEADERS((DWORD)buf + dos_header->e_lfanew);
	PIMAGE_FILE_HEADER file_header = PIMAGE_FILE_HEADER(&(nt_header->FileHeader));
	PIMAGE_OPTIONAL_HEADER option_header = PIMAGE_OPTIONAL_HEADER(&(nt_header->OptionalHeader));
	PIMAGE_SECTION_HEADER section_header = PIMAGE_SECTION_HEADER(IMAGE_FIRST_SECTION(nt_header));
	DWORD export_table_RVA = option_header->DataDirectory[0].VirtualAddress;
	PIMAGE_EXPORT_DIRECTORY export_table = PIMAGE_EXPORT_DIRECTORY(RVA2FOA((DWORD)buf, export_table_RVA) + (DWORD)buf);

	DWORD name_RVATable = RVA2FOA((DWORD)buf, export_table->AddressOfNames) + (DWORD)buf;
	DWORD nameAddress = 0;
	DWORD ordinal_table = RVA2FOA((DWORD)buf, export_table->AddressOfNameOrdinals) + (DWORD)buf;
	DWORD funAddress_table = RVA2FOA((DWORD)buf, export_table->AddressOfFunctions) + (DWORD)buf;

	for (int i = 0; i < export_table->NumberOfFunctions; i++) {
		nameAddress = RVA2FOA((DWORD)buf, *(PDWORD)name_RVATable) + (DWORD)buf;
		if (strcmp(name, (PCHAR)nameAddress)==0) {
			//去找序号表的下标i
			WORD order = ((PWORD)ordinal_table)[i];
			return ((PDWORD)funAddress_table)[order];
		}
	}
	return 0;
}

//通过序号去找函数地址
DWORD GetProcByOrdinals(DWORD buf, WORD order) {
	//耳熟能详
	PIMAGE_DOS_HEADER dos_header = PIMAGE_DOS_HEADER(buf);
	PIMAGE_NT_HEADERS nt_header = PIMAGE_NT_HEADERS((DWORD)buf + dos_header->e_lfanew);
	PIMAGE_FILE_HEADER file_header = PIMAGE_FILE_HEADER(&(nt_header->FileHeader));
	PIMAGE_OPTIONAL_HEADER option_header = PIMAGE_OPTIONAL_HEADER(&(nt_header->OptionalHeader));
	PIMAGE_SECTION_HEADER section_header = PIMAGE_SECTION_HEADER(IMAGE_FIRST_SECTION(nt_header));
	DWORD export_table_RVA = option_header->DataDirectory[0].VirtualAddress;
	PIMAGE_EXPORT_DIRECTORY export_table = PIMAGE_EXPORT_DIRECTORY(RVA2FOA((DWORD)buf, export_table_RVA) + (DWORD)buf);

	DWORD funAddressTable = RVA2FOA((DWORD)buf, export_table->AddressOfFunctions) + (DWORD)buf;
	return ((PDWORD)funAddressTable)[order - export_table->Base];
	
}


int _tmain(char* argv, char* args[]) {
	
	EnumExport();

	system("pause");
	return 0;
}

罗辑_M
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GetProcAddress
mpp_king的博客
02-26 8149
GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。  函数原型:  FARPROC GetProcAddress(  HMODULE hModule, // DLL模块句柄  LPCSTR lpProcName // 函数名  ); 参数: hModule  [in] 包含此函数的DLL模块的句柄。LoadLibrary、AfxLoadLibrary 或者GetMo...
GetProcAddress函数
sanfengshou的专栏
01-11 2451
<br />函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。<br /><br /> 函数原型:<br /> FARPROC GetProcAddress(<br />    HMODULE hModule,     // DLL模块句柄<br />    LPCSTR lpProcName    // 函数名<br /> );<br /><br /> 参数:<br /> hModule <br />    [in] 包含此函数的DL
完美实现GetProcAddress
weixin_34395205的博客
12-17 732
2019独角兽企业重金招聘Python工程师标准>>> ...
三个PE解析器代码学习
04-29
标题 "三个PE解析器代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
PE文件解析器的原理(C语言代码)
01-16
然而,如果我们要在解析器中实现这些功能,就需要手动解析导入表的IMAGE_IMPORT_DESCRIPTOR结构和对应的THUNK数据。 最后,编写PE文件解析器还需要注意一些安全问题。PE文件可能包含恶意代码,因此在处理时要避免...
易语言源码易语言PE插件注入源码.rar
03-30
在易语言中,实现PE插件注入需要掌握以下关键知识点: 1. **易语言基础**:了解易语言的基本语法,包括变量声明、数据类型、控制结构(如循环、条件语句)、函数调用等,这是理解源码的基础。 2. **进程和线程管理...
PE解析 DLL导出
07-05
在提供的文件列表中,如`call.bak`、`call`等,可能包含示例代码或者工具,用于演示或实现PE解析和DLL导出的步骤。`StdAfx.cpp`和`StdAfx.h`通常用于包含预编译头文件,以减少编译时间。`createfile.cpp`可能包含了...
易语言心梦软件PE修改源码
06-02
3. **API调用**:易语言提供了许多Windows API函数的封装,如LoadLibrary、GetProcAddress、VirtualProtect等,用于操作PE文件的内存映射、代码执行、权限修改等。 4. **资源管理**:PE文件可能包含图标、字符串、...
HookGetProcAddressTest.rar
02-23
inline hook 中转HOOK 具体请看我的文章: http://blog.csdn.net/friendan/article/details/43918299
[转]GetProcAddress函数
weixin_33857230的博客
12-24 430
函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。(使用动态调用函数地址之后,第三方程序(比如Depend.exe)就不会查出程序使用了哪些库和哪些函数)函数原型:FARPROC GetProcAddress(   HMODULE hModule,     // DLL模块句柄   LPCSTR lpProcName    // 函数名);参数:hMo...
实现GetProcAddress
XboxMicro
10-01 1786
标 题: 【原创】完美实现GetProcAddress 作 者: blueapplez 时 间: 2010-09-27,22:11:13 链 接: http://bbs.pediy.com/showthread.php?t=121226 // 本文系转载,代码中的部分注释是我学习中写的,通过作者的探索,让我了解了更多的关于GetProcAddress函数的细节,再次对前人的探索以及无私
GetProcAddress 使用注意事项
热门推荐
生命不息, 战斗不止!
08-12 2万+
使用 GetProcAddress Function 时,有以下几点需要特别留意: 1. 第二个参数类型是 LPCSTR,不是 LPCTSTR; 2. 用 __declspec(dllexport),按 C 名称修饰(extern "C") 导出的函数名,对于 __std
获取GetProcAddress函数地址
做一个快乐学习者
10-28 5321
我们都知道,GetProcAddress函数就是从系统文件kernel32.dll中导出的,而kernel32.dll是系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll的基址就可以找到GetProcAddress函数的地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到...
Smart GetProcAddress实现
穷途末路
05-06 592
Windows下有过编程经验的朋友肯定用过这个函数:GetProcAddress,作用呢,就是从加载的动态库中获取指定函数名的函数入口地址,函数使用方法简单,一般是如下流程: DLL导出函数的头文件:dll.h void WINAPI func1(int); void WINAPI func2(int,int); 动态加载DLL调用上面两个函数
使用汇编代码获取GetProcAddress函数地址的大致步骤(面试题系列)
ATree的博客
01-23 2454
1、首先通过FS寄存器获取到TEB的地址 2、在TEB偏移为0x30处的成员是PEB 3、PEB偏移为0xC处的成员是PEB_LDR_DATA结构体指针 4、PEB_LDR_DATA结构体偏移为0x1C处成员为InInitializationOrderModuleList,初始化模块链表,这个成员保存的是模块链表的头部地址。 5、通过InInitializationOrderModuleL
为何GetProcAddress()返回为空?
fysun的专栏
01-31 3333
编写了一个DLL文件,其中有函数__declspec(dllexport) void Function();然后在程序中如下调用该函数:typedef void (*MYFUNCTION)(void); HINSTANCE hInstance; MYFUNCTION func; hInstance = ::LoadLibrary("dllname.dll"); func = (MYFUNCTION)GetProcAddress(hInstance, "FunctionName"); //获取函数的
GetProcAddress()在C和C++中的区别
carspiriter的博客
10-30 2879
将使用 GetProcAddress() 的代码从 C 导向 C++ 时,MS-DOS 的 C++ 编译器可能会返回以下错误消息:error C2564:formal/actual parameters mismatch in call through pointer to function(错误 C2564:通过指针调用的函数中形参/实参不匹配) 32 位编译器返回的错误消息为: error C2197:'int (__stdcall *)(void )' :too many actual paramet

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值