驱动下获取dll的函数地址

最新推荐文章于 2023-06-28 09:21:02 发布
最新推荐文章于 2023-06-28 09:21:02 发布
阅读量770 收藏 1
点赞数
分类专栏: 驱动
原文链接:https://zhidao.baidu.com/question/2057912248276164387.html
版权

/************************************************************************ 
获取baiDLL中的函数地址 
lpFunctionName        函数名称
pDllName                DLL文件名称
************************************************************************/
/***************************************************************************************
*
*        原理:  R0下没有duLoadLibrary函数
*                        利用zhiZwCreateFile打开文件
*                        利用ZwCreateSection创建区段
*                        利用ZwMapViewOfSection映射dao区段到当前进程的虚拟内存
*                        定位PE Header地址
*                        定位第一个数据目录
*                        到EAT导出表
*                        搜索函数名,定位函数地址
****************************************************************************************/
DWORD GetDllFunctionId(char* lpFunctionName, PUNICODE_STRING pDllName) 

        HANDLE  hSection, hFile, hMod; 
        //        SECTION_IMAGE_INFORMATION sii; 
        IMAGE_DOS_HEADER* dosheader; 
        IMAGE_OPTIONAL_HEADER* opthdr; 
        IMAGE_EXPORT_DIRECTORY* pExportTable; 
        DWORD* arrayOfFunctionAddresses; 
        DWORD* arrayOfFunctionNames; 
        WORD* arrayOfFunctionOrdinals; 
        DWORD functionOrdinal; 
        DWORD Base, x, functionAddress; 
        char* functionName; 
        STRING  ntFunctionName, ntFunctionNameSearch; 
        PVOID BaseAddress = NULL; 
        SIZE_T size=0; 
         
        OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE}; 
        IO_STATUS_BLOCK iosb; 
        NTSTATUS status = STATUS_UNSUCCESSFUL;
         
        ZwOpenFile(&hFile, FILE_EXECUTE | SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT); 
         
        oa.ObjectName = 0; 
        //小红伞杀ZwCreateSection +ZwMapViewOfSection
        ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile); 
         
        ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, 
                                                         MEM_TOP_DOWN, PAGE_READWRITE); 
        ZwClose(hFile); 
         
        hMod = BaseAddress; 
                                 
        dosheader = (IMAGE_DOS_HEADER *)hMod; 
                                 
        opthdr =(IMAGE_OPTIONAL_HEADER *) ((BYTE*)hMod+dosheader->e_lfanew+24); 
                                 
        pExportTable =(IMAGE_EXPORT_DIRECTORY*)((BYTE*) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. 
                 
                VirtualAddress); 
                                 
        arrayOfFunctionAddresses = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfFunctions); 
                                 
        arrayOfFunctionNames = (DWORD*)( (BYTE*)hMod + pExportTable->AddressOfNames); 
                                 
        arrayOfFunctionOrdinals = (WORD*)( (BYTE*)hMod + pExportTable->AddressOfNameOrdinals); 
                                 
        Base = pExportTable->Base; 
                                 
        RtlInitString(&ntFunctionNameSearch, lpFunctionName); 
                                 
        for(x = 0; x < pExportTable->NumberOfFunctions; x++) 
                                { 
                functionName = (char*)( (BYTE*)hMod + arrayOfFunctionNames[x]); 
                 
                RtlInitString(&ntFunctionName, functionName); 
                 
                functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; 
                functionAddress = (DWORD)( (BYTE*)hMod + arrayOfFunctionAddresses[functionOrdinal]); 
                if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0) 
                { 
                        ZwClose(hSection); 
                        return functionAddress; 
                } 
        } 
                                 
        ZwClose(hSection); 
        return 0; 

 
/************************************************************************ 
根据DLL中函数的地址 找到在SSDT中索引号
lpFunctionName        函数名称
************************************************************************/
PVOID*  GetSSDTFunctionAddress(char* lpFunctionName){
        DWORD FunctionId = 0;
        ULONG Pread = 0;
        UNICODE_STRING DllName;
        RtlInitUnicodeString(&DllName,L"\\Device\\HarddiskVolume1\\Windows\\System32\\ntdll.dll");
        FunctionId=GetDllFunctionId(lpFunctionName,&DllName);
        Pread=*((WORD *)(FunctionId+1));
         
        return (KeServiceDescriptorTable->ServiceTable[Pread]);
}

R3获取kernel32地址
天使也掉毛
04-30 2862
获取Kernel32地址 如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。 对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是...
[Windows 驱动开发] 驱动获取函数地址
LYSM
04-15 849
跟ring3 GetProcAddress相似. PVOID MmGetSystemRoutineAddress( PUNICODE_STRING SystemRoutineName ); 驱动程序可以使用这个例程来确定一个例程在特定版本的Windows上是否可用。它只能用于内核或HAL导出的例程,不能用于任何驱动程序定义的例程。 ...
驱动开发:取进程模块的函数地址
最新发布
CSDN
06-28 1万+
在笔者上一篇文章`《驱动开发:内核取应用层模块基地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址,由于是入门系列所以并没有封装实现太过于通用的获取函数,本章将继续延申这个话题,并依次实现通用版`GetUserModuleBaseAddress()`取远程进程中指定模块的基址和`GetModuleExportAddress()`取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。
函数获取函数地址 MmGetSystemRoutineAddress
08-04 4034
#include&lt;ntifs.h&gt; VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动已卸载..."); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath) { NTSTATUS ...
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动级注入dll_驱动进程
07-15
2. **获取目标进程信息**:驱动程序通过系统API函数,如 ZwQuerySystemInformation 或 NtQuerySystemInformation,获取目标进程的句柄、基地址等关键信息。 3. **创建内核模式线程**:在驱动程序中创建一个内核模式...
DLL函数查看器.rar
04-04
这款DLL函数查看器允许用户查看DLL中的导出函数函数地址、参数类型等详细信息,对软件开发和故障排查非常有帮助。 易语言是一种中国本土开发的编程语言,旨在降低编程的难度,使得不懂英文的用户也能进行编程。...
易语言源码动态调用DLL函数.7z
04-07
2. **函数地址获取**:在动态调用DLL函数前,需要使用`DLL函数地址`命令来获取函数DLL中的实际地址。这个过程通常涉及到DLL的名称和函数名称。 3. **调用约定**:不同的编程语言和函数可能使用不同的调用约定,如...
易语言源码易语言DLL函数查看器源码.rar
03-30
"易语言源码易语言DLL函数查看器源码.rar" 是一个包含了易语言源代码的压缩文件,主要功能是实现DLL(动态链接库)函数的查看和分析。 DLL(Dynamic Link Library)是Windows操作系统中的一个重要组成部分,它封装...
易语言DLL函数查看器源码-易语言
06-13
通过分析和学习易语言DLL函数查看器的源码,开发者不仅可以增强对DLL的理解,还能提升在易语言环境下的编程能力,为以后开发更复杂的系统工具打下坚实基础。同时,源码阅读也是一种很好的学习方法,可以帮助开发者...
取.dll文件里的函数地址
xlm289348的专栏
12-31 613
g_hm= ::LoadLibrary("E:\\GC\\bin\\x86\\Debug\\ssn7\\Braille.dll");  if(!g_hm)  {   return FALSE;  }  _InitialHMDB = (_lpInitialHMDB)::GetProcAddress(g_hm,"InitialHMDB");  if(!_InitialHMDB)  {
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?
xstudio的专栏
05-08 2177
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
驱动开发:内核特征码搜索函数封装
热门推荐
CSDN
10-17 2万+
在前面的系列教程如`《驱动开发:内核枚举DpcTimer定时器》`或者`《驱动开发:内核枚举IoTimer定时器》`里面`LyShark`大量使用了`特征码定位`这一方法来寻找符合条件的`汇编指令`集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代码,本章内容中将重点分析,并实现一个`通用`特征定位函数
内核分析PE获取DLL导出函数地址
nanhaizhixin的专栏
09-29 3198
环境:VS2012+WIN8 64 类型:C++编写的WDM驱动程序 测试:VM WIN7 用途:主要用于驱动程序中得到WIN32 API地址,也可得到自定义的DLL中的函数导出地址,记录内核文件相关操作以便以后查看。 说明:此段代码来源于网络,经修改调试而成。 头文件 HelloWDM.h [cpp] view plainc
windows驱动读取gdtr_Windows系统调用架构分析—也谈KiFastCallEntry函数地址获取
weixin_31091881的博客
12-30 262
为什么要写这篇文章1.因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。2.碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数3.刚刚做完毕业设计,对使用中断来实...
打印出ntdll.dll中所有函数名字和地址
dididisailor的博客
11-26 3185
0x01 打印出ntdll.dll中所有函数名字和地址 0x02 在任何进程中都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
通过驱动对象得到Hookport.sys的基地址和大小
09-09 702
#include"ntddk.h" PDRIVER_OBJECT g_qudongduixiang = NULL; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表
使用sys接口来调试驱动
Android开发
09-04 2898
在调试cyttsp4驱动时,发现sys接口非常有用,便将相关的代码抽取出来。  代码如下sys.c #include #include #include #include #include #include #define DEVICE_NAME "select" static struct miscdevice poll_dev; ssize_t sys_read(struc
通过驱动名称获取驱动路径加载驱动
fsjaky的专栏
04-20 1861
最近在写一个小工具需要加载驱动。完成后,分享给朋友使用。大家反馈的信息是,无法加载驱动。后来我自己多次测试,没发现什么问题。        前提条件:驱动文件.sys 必须与可执行文件.exe必须在同一目录下面!        我在想是不是运行环境导致的,后来我复制出来到物理机里面测试,同样的问题出现了——驱动无法加载。        在最后,我发现问题了。在网上还是看到的大部分加载与卸载程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值