内核分析PE获取DLL导出函数地址

最新推荐文章于 2018-12-30 11:28:32 发布
最新推荐文章于 2018-12-30 11:28:32 发布
阅读量936 收藏
点赞数
分类专栏: Windows 文章标签: dll image byte header attributes dos
来自: http://hi.baidu.com/lynnux/blog/item/cb2829459efeef2ccefca32b.html

内核分析PE获取DLL导出函数地址
2009年10月22日 星期四 23:45

存档而已,别笑我菜哈~~~

DWORD GetDllFunctionAddress(char* lpFunctionName, PUNICODE_STRING pDllName)
{
HANDLE hThread, hSection, hFile, hMod;
SECTION_IMAGE_INFORMATION sii;
IMAGE_DOS_HEADER* dosheader;
IMAGE_OPTIONAL_HEADER* opthdr;
IMAGE_EXPORT_DIRECTORY* pExportTable;
DWORD* arrayOfFunctionAddresses;
DWORD* arrayOfFunctionNames;
WORD* arrayOfFunctionOrdinals;
DWORD functionOrdinal;
DWORD Base, x, functionAddress;
char* functionName;
STRING ntFunctionName, ntFunctionNameSearch;
PVOID BaseAddress = NULL;
SIZE_T size=0;

OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE};
IO_STATUS_BLOCK iosb;

ZwOpenFile(&hFile, FILE_EXECUTE | SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT);

oa.ObjectName = 0;

ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile);

ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, MEM_TOP_DOWN, PAGE_READWRITE);

ZwClose(hFile);

hMod = BaseAddress;

dosheader = (IMAGE_DOS_HEADER *)hMod;

opthdr =(IMAGE_OPTIONAL_HEADER *) ((BYTE*)hMod+dosheader->e_lfanew+24);

pExportTable =(IMAGE_EXPORT_DIRECTORY*)((BYTE*) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress);

arrayOfFunctionAddresses = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfFunctions);

arrayOfFunctionNames = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfNames);

arrayOfFunctionOrdinals = (WORD*)( (BYTE*)hMod + pExportTable->AddressOfNameOrdinals);

Base = pExportTable->Base;

RtlInitString(&ntFunctionNameSearch, lpFunctionName);

for(x = 0; x < pExportTable->NumberOfFunctions; x++)
{
functionName = (char*)( (BYTE*)hMod + arrayOfFunctionNames[x]);

RtlInitString(&ntFunctionName, functionName);

functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1;
functionAddress = (DWORD)( (BYTE*)hMod + arrayOfFunctionAddresses[functionOrdinal]);
if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0)
{
ZwClose(hSection);
return functionAddress;
}
}

ZwClose(hSection);
return 0;
}

anhkgg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态取得Ntoskrnl.exe导出函数地址
04-23
动态取得Ntoskrnl.exe导出函数地址
PE重定位练习
10-07
在描述中提到的`ntdll.dll`是一个核心系统DLL,用于提供NT内核级的API函数,而`PEview.exe`则可能是一个工具,用于查看和分析PE文件的结构。通过使用这样的工具,我们可以深入到PE文件的内部,观察重定位过程是如何...
[源码和文档分享]根据PE文件格式从导出获取指定导出函数地址
qq_38474647的博客
12-30 167
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
PE加载例程.rar
04-05
当我们双击一个.exe文件时,其实是在执行PE加载例程,它是Windows操作系统内核负责将PE文件映射到内存并准备执行的关键过程。本文将深入解析PE加载例程的各个方面。 一、PE文件结构 1. 文件头:每个PE文件都以DOS...
PE文件格式读取 源码
12-28
它包含了导出函数的名称、地址和序号,以及可能的导出模块版本信息。分析导出有助于了解程序的功能和可能的接口。 节(Section Table)是PE文件组织的基础,它列出了PE文件的所有节。每个节都有一个名称,如"....
PE结构图和PE结构
12-28
- **导出**: 当PE文件作为DLL时,会有一个导出,列出可供其他程序使用的函数和变量。 4. **资源** - **资源头**: 包含资源的类型、名称和ID,如位图、图标、字符串、版本信息等。 - **资源树**: 以树形结构...
windows内存加载PE.rar
08-17
导入列出了PE文件需要调用的其他DLL中的函数导出则声明了该文件提供给其他模块的函数。 7. **执行入口点**:最后,系统找到PE文件的入口点(Entry Point),通常是程序的主函数,然后跳转到该地址开始执行...
PE文件导出函数
01-10
大部分人通过pNTHeader.OptionalHeader.DataDirectory[0].VirtualAddress获取导出函数,但不少DLL需要重新计算偏移,本例通过暴力搜索Section,避免某些情况下读取失败
简单使用的查看dll地址小工具
11-23
简单查看动态库的小工具,方便查看函数地址,对于动态库的调用,有很好的参考意义
[源码和文档分享]根据PE文件格式从导入获取加载的DLL遍历导入函数名称和地址...
qq_38474647的博客
12-30 206
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
关于获取dll地址、加载指定dll
gangyankui7140的博客
05-27 1301
获取当前加载dll地址: HMODULE m_hModule = _AtlBaseModule.GetModuleInstance();                                                   GetModuleFileNameW(m_hModule, pBuf, MAX_PATH);  加载指定的dll: ::LoadLibraryEx(
获取PE文件的导出函数
gdhuman的专栏
07-21 1220
获取PE文件的导出函数 关键字:PE文件,导出函数,PIMAGE_DOS_HEADER,PIMAGE_EXPORT_DIRECTORY,PIMAGE_NT_HEADERS 作者:zhangjiawen    更新:2006-04-19    浏览:6435 <!-- .source {font-family: 宋体, Verdana, mono; font-si
智能锁(远程开锁、指纹开锁、密码开锁、刷卡开锁)
最新发布
07-19
按键功能:输入密码,并能根据密码来决定开门还是进入管理员模式 密码功能:能够更换开门密码/管理员密码,且具有掉电不丢失功能 刷卡功能:能够判断卡片是否登记;刷卡开门;删除/登记开门卡片 指纹功能:指纹开门;删除/登记指纹 语音功能:播放不同功能的语言提示 门铃功能:机械开关控制门铃响 阿里云服务器接入:连接阿里云服务器,可以上报设备信息,也可以通过服务器端无线控制,如修改密码、恢复出厂设置、调节音量大小、远程开门等
openwrt系统内核ko导出函数
04-13
在OpenWRT系统中,可以使用内核模块导出函数来实现函数的共享和调用。下面是一个示例代码[^2]: ```c #include #include #include MODULE_LICENSE("GPL"); extern int print(void); static int darren_init...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值