如何从PIMAGE_EXPORT_DIRECTORY节,得到某个API函数代码地址

最新推荐文章于 2023-03-25 18:57:00 发布
最新推荐文章于 2023-03-25 18:57:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: c++ 文章标签: api function user image null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lessonzhe/article/details/2319461
版权

//功能:得到某个API函数代码地址
//参数://hModule: 导入模块的句柄(如user32.dll模块的句柄,GetModuleHandle("user32.dll"))
//pProcName: 函数名或序号
const FARPROC GetExportFunctionFARPROC(HMODULE hModule, LPCSTR pProcName)
{
 PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)
  GetDirectory(IMAGE_DIRECTORY_ENTRY_EXPORT);
 
 if ( pExport==NULL )
  return NULL;
 
 unsigned ord = 0;
 
 if ( (unsigned) pProcName < 0xFFFF ) // ordinal ?
  ord = (unsigned) pProcName;
 else
 {
  const DWORD * pNames = (const DWORD *) RVA2Ptr(pExport->AddressOfNames);
  const WORD  * pOrds  = (const WORD  *) RVA2Ptr(pExport->AddressOfNameOrdinals);
  
  // find the entry with the function name
  for (unsigned i=0; i<pExport->AddressOfNames; i++)
   if ( stricmp(pProcName, RVA2Ptr(pNames[i]))==0 )
   {
    // get the corresponding ordinal
    ord = pExport->Base + pOrds[i];
    break;
   }
 }
 
 if ( (ord<pExport->Base) || (ord>pExport->NumberOfFunctions) )
  return NULL;
 
 // use ordinal to get the address where export RVA is stored
 const char * pModule = (const char *) hModule;
 DWORD * pRVA = (DWORD *) (pModule + pExport->AddressOfFunctions) +
  ord - pExport->Base;
 
 // read original function address
 DWORD rslt = * pRVA;
 
 return (FARPROC) (pModule + rslt);
}

 

lessonzhe
关注
专栏目录
手戳shellcode编写 第一课(动态函数地址调用函数
啊渊的专栏
08-21 276
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
导入表注入
qq_41232519的博客
10-14 594
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加 3、定位导入表 4、将导入表移动到新增的里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
导出表 IMAGE_EXPORT_DIRECTORY
Ghjhfssfgk的博客
01-28 412
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // 未使用,总为0 DWORD TimeDateStamp; // 文件创建时间戳 WORD MajorVersion; // 未使用,总为0 WORD MinorVersion; ...
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5718
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
导出函数结构 EXPORT_DIRECTORY
dengjiatao9832的博客
09-21 152
typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; DWORD TimeDateStamp; //输出表的创建时间 WORD MajorVersion; //输出表的主版本号。未使用设置为0 WORD Mi...
滴水PE作业3
bruce_devil的博客
03-25 122
实现目标: 开辟新的并将导出表与重定位表的数据移到新的中。
PE文件结构解析
lwqamm的博客
10-09 233
主要是介绍了pe文件结构导出表和导出表的一些成员,以及如何使用代码打印出它们,涉及到指针和结构体相关的知识。需要注意的是指针的类型和三张子表存储值的宽度。由于作者水平有限,文章如有错误欢迎指出。
PE总结8---PE文件结构之导出表 (IMAGE_EXPORT_DIRECTORY
oBuYiSeng的博客
12-09 2354
导出表由3个部分构成:  名称表,   函数表,   序号表。   名称表和序号表就是索引,引导调用者找到真正的函数表。   函数表中保存着被导出函数地址信息    导出表在内存中的顺序是按照输出名称来确定的。     IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteri
通过函数名称和序号,打印出导出函数地址(含代码
lygl35的博客
07-19 992
主程序 //主程序 outoutpeh.cpp #include <stdio.h> #include <stdlib.h> #include "func.h" typedef int(*lpPlus)(int, int); int main(int argc ,char* argv[]) { //PrintNTHeaders();//打印PE头信息 //TestAddCodeIncodeSec(); //TestAddSecIncode(); //Pri
模拟Loader装载输入函数的RVA地址至FirstThunk
For Geek
05-10 305
这次模拟了系统在加载程序到内存时,程序的导入表中的FirstThunk被替换的过程。这里只演示了ImportByName的情形,仅供自娱自乐,233333。 #include <Windows.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #pragma warning(d...
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码
m0_62783065的博客
12-12 1334
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码
PE文件解析--导出表
qq_31125257的博客
12-22 1642
1、定位导出表 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
获得KERNEL32.DLL模块地址以及函数地址
SUNE__学无止境
05-29 2879
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
滴水三期:day34.2-数据目录
Edimade的博客
05-04 973
一、数据目录概述>二、作业(1.编程输出全部目录项)
导出表钩子之EAT HOOK解析
輚至消亡
07-06 3065
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出表的地址(注意这里是RVA要加上ImageBa...
ELF&PE 文件结构分析
Always On The Way
11-01 2494
ELF&amp;PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELF 和 PE 的文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELF和PE 文件都是基于Unix 的 COFF(...
PE导出表,C语言打印导出表信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 953
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出表。
取PE文件的引入表和导出表
锄禾日当午
08-21 1586
直接上代码(这里列出C++和Delphi的代码),Delphi代码中包含导入及导出文件和函数列表,PE结构可参阅资料,很多很详细,需要注意的是,本例中是映射到内存,不是通过PE装载器装入的,所以对于的RVA地址需要转换成为文件偏移地址。   Delphi代码   [delphi] view plaincopy unit Unit1; 
PE文件导出表解析代码实现
做一个快乐学习者
05-01 535
PE文件导出表结构 typedef struct _IMAGE_EXPORT_DIRECTORY { //保留。恒为0x00000000 DWORD Characteristics; //导出表的创建时间(GMT) DWORD TimeDateStamp; //导出表的主版本号 WORD MajorVersion; //导出表的子版本号 WORD Mi...
C++调用DLL库 DECODER_API int DECODER_STDCALL FsaDecoderGetResultStringbyte * pImage); 转C#
最新发布
09-24
在C#中,如果你想要调用像`DECODER_API int DECODER_STDCALL FsaDecoderGetResultString(byte* pImage)`这样的C++ DLL函数,你需要将它转换为.NET可识别的函数调用格式。首先,你需要了解C++中的stdcall和cdecl是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值