C++获取指定程序的IAT

最新推荐文章于 2021-07-16 14:07:00 发布
最新推荐文章于 2021-07-16 14:07:00 发布
阅读量181 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/nsxz85/p/4814803.html
版权 
今天学习导入表,于是便通过程序将获取IAT的过程实现一下,各位看官发现什么问题,请多指教。谢谢!
废话不多说,下面是代码:


#include <iostream>
#include <windows.h>
#include <winnt.h> using namespace std; int main(int argc, char* argv[]) { if (argc != 2) { cout << "Usage: " << argv[0] <<" "<<argv[1]<<endl; exit(1); } HANDLE hFile = NULL; IMAGE_DOS_HEADER * pDosHeader = NULL; cout << argv[0] << "  " << argv[1] << endl; WCHAR  pwchar[255] = {0}; MultiByteToWideChar(CP_ACP, 0, argv[1], sizeof(argv[1]) + 1, pwchar, sizeof(pwchar)/sizeof(pwchar[0])); //hFile = CreateFile("D:\\project\\PEInfo\\Debug\\Loadsys.exe", GENERIC_READ, FILE_SHARE_READ| FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); hFile = CreateFile(argv[1], GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == INVALID_HANDLE_VALUE) cout << "CreateFile Error" << GetLastError() << endl; HANDLE hMap = 0; hMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL); if (!hMap) cout << "CreatefileMapping Error !" << endl; void * lpMemory = MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0); pDosHeader = (IMAGE_DOS_HEADER *)lpMemory; if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) cout << "This File is not a PE File !" << endl; IMAGE_NT_HEADERS* pNtHeader = (IMAGE_NT_HEADERS*)((BYTE*)pDosHeader + pDosHeader->e_lfanew); cout << "----------------------------------------------------------------------" << endl; cout << "Number of Section: " << pNtHeader->FileHeader.NumberOfSections << endl; for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; ++i) { IMAGE_SECTION_HEADER * pSectionHeader = (IMAGE_SECTION_HEADER *)((pNtHeader->FileHeader.SizeOfOptionalHeader + 24 + (BYTE*)pNtHeader) + i * 0x28); cout << "Setction Name: " << pSectionHeader->Name << endl; } cout << "----------------------------------------------------------------------" << endl; IMAGE_IMPORT_DESCRIPTOR * pImportTabe = (IMAGE_IMPORT_DESCRIPTOR *)(pNtHeader->OptionalHeader.DataDirectory[1].VirtualAddress + (BYTE*)pDosHeader); IMAGE_IMPORT_DESCRIPTOR* pOriginalImportTable = pImportTabe; IMAGE_THUNK_DATA * pThunk = nullptr; IMAGE_IMPORT_BY_NAME* pINT = nullptr; DWORD n = 0; while (pImportTabe->Name) { cout <<"+-------------------------------------------------------------------"<< endl; cout << "+动态库:" << pImportTabe->Name + (BYTE*)pDosHeader << endl; cout << "                     +----导入函数名称表:" << endl; pThunk = (IMAGE_THUNK_DATA *)(pImportTabe->OriginalFirstThunk + (BYTE*)pDosHeader); while (pThunk->u1.Function) { pINT = (IMAGE_IMPORT_BY_NAME*)(pThunk->u1.Function + (BYTE*)pDosHeader); cout <<"                                     |------"<< pINT->Hint << " : " << pINT->Name << endl; //cout << ((DWORD*)(pImportTabe->FirstThunk + (BYTE*)pDosHeader) + n)<<endl; //printf("%x \n", ((DWORD*)(pImportTabe->FirstThunk + (BYTE*)pDosHeader) + n)); //n++; pThunk = (IMAGE_THUNK_DATA*)((BYTE*)pThunk + 4); } pImportTabe = (IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)pImportTabe + 20); } cout << "----------------------------------------------------------------------" << endl; return 0; }

转载于:https://www.cnblogs.com/nsxz85/p/4814803.html

afsafs1231
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你用C++快速检索指定文件,这个掌握了老板不会再骂你!
python学习+VX:YYQX2209
12-03 1078
一个速度极快的VC++目录文件查找类,菜鸟们也能很好的使用。文件查找在很多时候我们都能用得上,本类是将文件查找操作简单进行封装,在使用时候,你只需传递参数(路径和文件名及匹配格式),查询的目录和文件结果被保存到本类内部的vector容器,方便你随后取用。 C++ 快速检索(搜索)指定文件,具体的原理还没有仔细看,感觉不是太复杂的算法,演示效果如下图所示。 项目结构展示: 部分源码...
C++之重载操作符
weixin_45155703的博客
04-11 708
首先,我们先建立一个简单的场景:int a=10; int b=20; int c=a+b; 这时候能得到c的值为30,但是,我们在类中建立一个场景: class person{ public: int age; int num; }; person m1; person m2; person m3; m3=m1+m2; 这时候能知道m3的数据吗?好像不是简单的加减了,操作系统也不知道该怎么办了,需要重新告诉操作系统该怎么做,这个过程叫操作符重载, class person{ publi
C/C++ 导入表与IAT内存修正
CSDN
09-17 7324
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的节表和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
C/C++ IAT HOOK MessageBoxW
CSDN
07-16 4869
IATHook(Import Address Table Hook)是一种用于修改函数导入表的技术,常用于动态链接库(DLL)注入和函数钩子。它通过修改目标程序的导入表中的函数地址,实现对目标函数的劫持和重定向。
C/C++ 手工实现IAT导入表注入劫持
热门推荐
CSDN
09-20 1万+
DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。
什么是 IAT(一)
北冥有鱼的Blog
03-13 9958
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。导入...
Visual C++ 之 调试程序
ForestRound的博客
10-05 4284
一、Debug调试器 发布版本没有调试信息,不能进行程序调试,但程序进行了优化,DEBUG版本则包含调试信息(在Debug文件夹),但没有优化。所以程序有时候能够在调试版本运行,但不能运行于发布版本。编程时一般先生成一个Debug版本程序程序在经过调试确认无误后,再编译链接生成一个Release版本程序。 调试工具: 1. 调试窗口 用于显示程序的调试信息。 Output窗口:
C++获取当前进程IAT的方法
09-04
C++编程中,有时我们需要获取当前进程的IAT,以便分析程序的依赖或进行动态钩子等高级操作。本篇文章将详细介绍如何在C++获取当前进程的IAT,并提供一段示例代码来演示这一过程。 首先,我们需要理解PE文件结构...
C++基于hook iat改变Messagebox实例
09-04
本实例重点讨论了如何使用C++结合Hook和IAT(Import Address Table,导入地址表)来改变`MessageBox`函数的行为。 1. **Hook基本概念**: Hook技术主要是通过在函数调用链路中插入自定义的处理代码,使得原本调用...
C++封装IATHOOK类实例
09-04
C++编程中,IATHOOK(Import Address Table Hook)是一种技术,用于在运行时拦截和替换函数调用。这通常用于调试、性能分析、插件系统或恶意软件中,以便在程序执行过程中控制或修改特定函数的行为。下面将详细...
iat导入表hook的c++源码
最新发布
09-14
程序加载时,操作系统根据IAT填充实际函数地址,使得程序能够正确执行。 在C++中实现IAT Hook,通常包括以下步骤: 1. **查找目标函数**:首先,我们需要确定要hook的函数,这通常涉及到遍历目标进程的内存空间...
C++ IAT HOOK(MessageBoxW 为例)
LYSM
08-15 1013
最近在研究各种姿势的 HOOK,虽然 HOOK 这个东西已经是很久之前就有的技术了,但好在目前应用仍然很广泛,所以老老实实肯大佬们 10 年前啃过的骨头 … 下面是庄重的代码献祭时刻 —— 首先 IAT HOOK 需要使用 DLL , 这里有两个项目工程,一个是 MFC窗体应用(用来测试),一个是我们的 DLL (主要功能)。 DLL 代码: 注释很全,尔等不可能看不懂 // dllmain.c...
C++ Hook IAT (基于IAT的Hook实践)
一个工具的觉悟
10-07 5224
本实践基于HookImportFunction.cpp(h), 源自星际译王,代码附后 一. 使用方式   本实践由测试主程序部分与测试dll两部分组成,分别编译成功后,先运行test.exe,再使用dll注入工具将hookTest.dll注入到test.exe中,回车运行。 二. 测试主程序(test.exe) 1. 创建Win32控制台空项目文件 2. 创建应用程序入口文件(main
获取当前进程的IAT
小驹的专栏
06-14 1439
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
IAT表是如何实现的
zzx的博客
12-16 2303
我们知道当程序要调用系统dll时,会用到IAT表 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 839
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
C/C++:Windows编程—IAT Hook实例(程序启动拦截)
重庆李四
01-08 3199
C/C++:Windows编程—IAT Hook实例(程序启动拦截) 前言+思路 本文默认读者有IAT Hook的相关的基础知识了哈,记录笔者在IAT Hook实战中遇到到问题以及解决思路。 笔者想实现一个功能能够拦截到程序的启动。经过调研,大多程序如果是通过双击或者鼠标启动的 一般都是有 Windows资源管理器explorer.exe进程进行创建的。最近刚好学习了IAT Hook就用IAT H...
c++ 客户端/服务器端框架学习笔记
chengyue2007的专栏
09-14 486
服务器运行于独立的进程中内核服务器: 该服务器的优先级最高,控制着从其他进程对硬件和内存的访问                     RTimer 提供异步时间服务                     RThread 提供线程访问和创建                     RSemaphore 允许线程间的同步文件服务器: 该服务器提供对文件系统的访问                  ...
C++封装IATHOOK类的
singebogo的博客
05-14 705
本文实例讲述了C++封装IATHOOK类的实现方法。分享给大家供大家参考。具体方法如下: 1. 定义成类的静态成员,从而实现自动调用 复制代码 代码如下: static CAPIHOOK sm_LoadLibraryA;  static CAPIHOOK sm_LoadLibraryW;  static CAPIHOOK sm_LoadLibraryExA;  static
获取IAT表中的函数地址
06-01
获取IAT表中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入表(Import Table),获取导入表的 RVA 和 Size 3. 遍历导入表中的每一个导入描述符(Import Descriptor) 4. 对于每一个导入描述符,获取其名称表(Name Table)的 RVA 和 Size,以及导入地址表(Import Address Table,也称为IAT)的 RVA 5. 遍历导入地址表中的每一个函数地址,即可获取IAT表中的函数地址。 下面是伪代码实现: ```C++ // 获取PE文件基地址 HMODULE hModule = GetModuleHandle(NULL); // 获取导入表 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hModule + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); DWORD dwImportSize = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size; // 遍历导入表 while (pImportDesc->Name != 0) { // 获取名称表和IAT表 PIMAGE_THUNK_DATA pNameTable = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->OriginalFirstThunk); PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->FirstThunk); // 遍历IAT表中的每一个函数地址 while (pNameTable->u1.AddressOfData != 0) { // 获取函数名称 PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + pNameTable->u1.AddressOfData); LPCSTR lpFunctionName = (LPCSTR)pImportByName->Name; // 获取函数地址 FARPROC fpFunction = (FARPROC)pIat->u1.Function; // 处理函数地址 // ... // 下一个函数 pNameTable++; pIat++; } // 下一个导入描述符 pImportDesc++; } ``` 注意:在遍历导入表时,需要检查导入描述符的 Name 字段是否为 0,以判断是否到达导入表的末尾。在遍历IAT表时,需要检查名称表中的 AddressOfData 字段是否为 0,以判断是否到达IAT表的末尾。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值