VB PE导出/输入表演示(进程版)

最新推荐文章于 2021-03-21 18:19:01 发布
最新推荐文章于 2021-03-21 18:19:01 发布
阅读量2.5k 收藏
点赞数
分类专栏: VB原创 文章标签: vb integer image descriptor function import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/2005397
版权
这个VB程序展示了如何读取PE文件的导出和导入表。通过使用`OpenProcess`、`ReadProcessMemory`等API,程序获取进程路径,并遍历导出表和导入表,列出导出函数和输入函数的详细信息。用户可以输入PE文件路径,程序将显示对应的导出和输入函数列表。
摘要由CSDN通过智能技术生成

frmMain.frm

Option Explicit
Private Declare Sub InitCommonControls Lib "comctl32.dll" ()

Private Function IsArraryInitialize(strArray() As String) As Boolean
    On Error GoTo ErrHandle
    Dim i As Long
    i = UBound(strArray)
    IsArraryInitialize = True
    Exit Function
ErrHandle:
    IsArraryInitialize = False
End Function

Private Function IsObjArraryInitialize(objArray() As ImportDetailInfo) As Boolean
    On Error GoTo ErrHandle
    Dim i As Long
    i = UBound(objArray)
    IsObjArraryInitialize = True
    Exit Function
ErrHandle:
    IsObjArraryInitialize = False
End Function

Private Sub cmdExit_Click()
    Unload Me
End Sub

Private Sub cmdExport_Click()
    Dim pExportInfo As ExportInfo, i As Integer
    lstExport.Clear
    Call GetProcessPath(Val(txtPath.Text))
    If GetExportTable(Val(txtPath.Text), pExportInfo) Then
        lstExport.AddItem pExportInfo.strDllName & "导出函数列表:"
        If IsArraryInitialize(pExportInfo.strFuns) Then
            For i = 0 To UBound(pExportInfo.strFuns)
                lstExport.AddItem "     " & pExportInfo.strFuns(i)
            Next
        End If
    End If
End Sub

Private Sub cmdImport_Click()
    Dim pImportInfo As ImportInfo, i As Integer, j As Integer
    lstImport.Clear
    Call GetProcessPath(Val(txtPath.Text))
    If GetImportTable(Val(txtPath.Text), pImportInfo) Then
        lstImport.AddItem pImportInfo.strExePath & "输入函数列表:"
        If IsObjArraryInitialize(pImportInfo.pDetailInfo) Then
            For i = 0 To UBound(pImportInfo.pDetailInfo)
                lstImport.AddItem "     模块:" & pImportInfo.pDetailInfo(i).strDllName & ""
                If IsArraryInitialize(pImportInfo.pDetailInfo(i).strFuns) Then
                    For j = 0 To UBound(pImportInfo.pDetailInfo(i).strFuns)
                        lstImport.AddItem "          " & pImportInfo.pDetailInfo(i).strFuns(j)
                    Next
                End If
            Next
        End If
    End If
End Sub

Private Sub Form_Initialize()
    InitCommonControls
End Sub

modPEInfo.bas


Option Explicit

Private Const PROCESS_QUERY_INFORMATION As Long = 1024
Private Const PROCESS_VM_READ As Long = 16

Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long
Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccessas As Long, ByVal bInheritHandle As Long, ByVal dwProcId As Long) As Long

Private Declare Function NtQueryInformationProcess Lib "ntdll.dll" (ByVal ProcessHandle As Long, _
                                ByVal ProcessInformationClass As PROCESSINFOCLASS, _
                                ByVal ProcessInformation As Long, _
                                ByVal ProcessInformationLength As Long, _
                                ByRef ReturnLength As Long) As Long

Private Enum PROCESSINFOCLASS
    ProcessBasicInformation = 0
    ProcessQuotaLimits
    ProcessIoCounters
    ProcessVmCounters
    ProcessTimes
    ProcessBasePriority
    ProcessRaisePriority
    ProcessDebugPort
    ProcessExceptionPort
    ProcessAccessToken
    ProcessLdtInformation
    ProcessLdtSize
    ProcessDefaultHardErrorMode
    ProcessIoPortHandlers
    ProcessPooledUsageAndLimits
    ProcessWorkingSetWatch
    ProcessUserModeIOPL
    ProcessEnableAlignmentFaultFixup
    ProcessPriorityClass
    ProcessWx86Information
    ProcessHandleCount
    ProcessAffinityMask
    ProcessPriorityBoost
    ProcessDeviceMap
    ProcessSessionInformation
    ProcessForegroundInformation
    ProcessWow64Information
    ProcessImageFileName
    ProcessLUIDDevice

最低0.47元/天 解锁文章
chenhui530
关注
专栏目录
Qt开发经验总结
草上爬的博客
12-02 8186
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
PE格式详细讲解7 - 系统篇07|解密系列
weixin_33709364的博客
05-26 197
PE格式详细讲解7-系统篇07 让编程改变世界 Change the world by program 捷径并不是把弯路改直了,而是帮你把岔道堵上! 走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇! 岔路会将你引入万劫不复的深渊,并越走越深…… 在开始讲解输入表(导入表)概念之前,请允许小甲鱼童鞋用简短的几句话来总结之前...
PE格式详细讲解8 - 系统篇08|解密系列
weixin_33724659的博客
06-20 129
PE格式详细讲解8-系统篇08 让编程改变世界 Change the world by program 在此之前,我们已经对这个输入表进行了一些实践和理解,这有助于大家对这个概念更进一步的加深认识。 小甲鱼觉得,越是复杂的问题我们应该越是去动手操作它,认识它,这样才容易熟悉它! 在上一节课我们像小鹿一样的乱撞,终于撞到了输入表里边包含的函数名称,嘿嘿,不过地址,我们...
PE格式之输入
Miibotree
04-15 3187
紧接着上一篇的千里追踪输入表,现在终于可以开始看输入表里面的神奇东东了。。。 还是copy小甲鱼的课件。。。。 输入表结构 回顾一下,在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个
关于PE文件——输入
chfsuihan的专栏
01-04 954
什么是输入表? 输入表就相当于exe文件与DLL文件沟通的桥梁,形象的可以比喻成两个城市之间交流的高速公路。在PE文件映射到内存后,windows将相应的DLL文件装入,EXE文件通过“输入表”找到相应的DLL中的导入函数,从而完成程序的正常运行。 输入表的组成与工作原理? 首先大概了解整体的结构: 三个表:         ①输入表: 对应IMAGE_IMPORT_
Windows:PE格式之输入
无名J0kзr的博客
03-21 520
文章目录杂数据目录表输入表 杂 前文是 操作系统:32位PE文件结构 数据目录表 位置:ImageNtHeaders->OptionalHeader->DataDirectory 描述:由NumberOfRvaAndSizes个IMAGE_DATA_DIRECTORY结构体组成的数组 包含有:输入表、输出表、资源表、重定位表等数据目录项的RVA和大小 输入表、输出表又称导入表、导出输入表 ...
PE导出输入表演(文件影射)VISUALBASIC源码系列
03-31
在这个“PE导出输入表演(文件影射)”的VB源码系列中,开发者可能通过文件映射技术来处理PE文件的导出和导入表。文件映射是一种内存管理技术,它允许程序将磁盘文件直接映射到进程的虚拟地址空间,从而可以直接...
VB实用模块40例 源码程序
11-23
PE导出输入表演(读文件).bas 18,081 3,311 Visual Bas PE导出输入表演(文件影射).bas 15,524 2,990 Visual Bas TreeView处理.bas 4,487 901 Visual Bas 拨号与断开模块.bas 2,463 784 Visual Bas 查壳....
病毒攻杀编程技术资料!
09-19
[PE导出输入表演(进程)收藏] [Ping指令类模块] [Ring0删除文件] [Ring3 Inline Hook NtTerminateProcess] [Ring3 Inline Hook Scan] [RUNDLL32使用方法] [Shadow SSDT] [SSTD] [VB中基于TCPIP协议的点对点文件...
PE文件结构(三) 输入
billvsme的专栏
10-03 4450
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入输入函数,表被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表(导入表)就是用来保存这些函数的信息的。 在 IMAGE_OPT
PE文件详解六:PE详解之输入表(导入表)详解2
weixin_33809981的博客
01-11 153
输入表结构    在 PE文件头的 IMAGE_OPTIONAL_HEADER 结构中的 DataDirectory(数据目录表) 的第二个成员就是指向输入表的。而输入表是以一个 IMAGE_IMPORT_DESCRIPTOR(简称IID) 的数组开始。每个被 PE文件链接进来的 DLL文件都分别对应一个 IID数组结构。在这个 IID数组中,并没有指出有多少个项(就是没有明确指明有多...
PE导入表(输入表)学习笔记
tzwj1983的博客
03-19 491
导入表结构及部分关键代码
PE文件输入表获取过程
enyblock的专栏
08-01 3415
1.    首先给出这个PE文件的一些16进制代码 dos头的最后一个变量给出PE头的地址:000000E0,由于import table 的数据目录项相对PE头的偏移为80h,故输入表的数据目录项在文件中的偏移为00000160 查看00000160偏移地址所对应的内容,前四个字节, 0000C7AC为IMAGE_IMPORT_DESCRIPTOR在内存中的RVA,此时,我
[DLL注入的方法]进程创建期修改PE输入表法
diheqiu3577的博客
09-03 404
  进程创建期修改PE输入表法的原理和静态修改PE输入表完全相同,可以在R3/R0的各个阶段进行干预(必须在主线程运行之前)。 1.以读写方式打开目标文件: 2 //以读写方式打开目标文件 3 HANDLE hFile = CreateFile(szImageFilePath, 4 GENERIC_READ|GENERIC_WRITE, ...
小甲鱼PE详解之输入表(导入表)详解(PE详解07)
07-29 3452
上一讲:小甲鱼PE详解之区块描述、对齐值以及RVA详解捷径并不是把弯路改直了,而是帮你把岔道堵上!走得弯路跟成长的速度是成正比的!不要害怕走上弯路,弯路会让你懂得更多,最终还是会在终点交汇!岔路会将你引入万劫不复的深渊,并越走越深……在开始讲解输入表(导入表)概念之前,请允许小甲
手动修改PE头及反调式
qq_33526144的博客
12-13 1254
操作过程 1.运行程序,首先看到PE头的开始地址(00 01倒过来为01 00),PE头大小(E0) 2.
VB Ring3下解锁文件的模块
chenhui530的专栏
10-03 5037
这篇文章参考了这个地址http://www.xfocus.net/articles/200708/935.html Attribute   VB_Name   =   "modLockFileInfo" Option   Explicit Private   Declare   Function   NtQueryInformationProcess   Lib   "NTDLL.DLL"  
静态修改PE输入
哒君的博客
07-21 772
通常情况下,程序加载DLL的时机主要有以下三个: 在进程创建阶段加载输入表中的DLL,即俗称的静态输入 通过调用`LoadLibrary (Ex) 主动加载,称为动态加载 由于系统机制的要求,必须加载系统预设的一些基础服务模块 此文仅记录修改静态输入表注入 找到输入表 https://blog.csdn.net/billvsme/article/details/39735823 输入表结构...
VB.NET实现工作表批注图片导出源码
2. **变量声明**: 首先声明了几个变量,如`rng`(用于存储单元格范围)、`Flnm`(用于存储导出的图片文件名)、`Ht`和`WD`(高度和宽度),以及`sh`(当前活动工作表)。 3. **遍历批注**: 使用`SpecialCells`方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值