通过Hash查找API函数地址

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。（本文仅用于交流学习）

该方法最早由 Stephen Fewer 在2009年提出，顾名思义，其是通过Hash来条用函数，替代传统的直接使用函数的名称。

我们先来简单的了解一下PE结构

PE文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AIusBzIr-1692268676586)(https://image.3001.net/images/20230331/1680245075_642681536c6d8424e9773.png!small)]

PE文件是由许许多多的结构体组成，其从上到下依次是Dos头、Nt头、节表、节区和调试信息(可选)。

IMAGE_DOS_HEADER

IMAGE_DOS_HEADER的结构如下

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

其中最最要的就是e_magic、e_lfanew

e_magic：用十六进制表示就是4D 5A，其是Mark Zbikowski（MZ）的姓名缩写，他是最初的MS-DOS设计者之一

e_lfanew：它保存着IMAGE_NT_HEADERS32这个结构体在PE文件中的偏移地址，PE文件运行时只有通过该文件才能定位到PE签名。

IMAGE_DOS_STUB

在文件的第一个字节之后，将启动一个dos存根。内存中的这个区域大部分都是零

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RAOeI90B-1692268676587)(https://image.3001.net/images/20230331/1680245196_642681ccb100e77744280.png!small)]

IMAGE_NT_HEADERS

可以看见其分为32位、64位，结构都差不多一样的

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature：PE的签名，相对该结构的偏移0x00

FileHeader：结构体，相对该结构的偏移0x04

OptionalHeader：结构体，相对该结构的偏移0x18

Signature

其DOS头的MZ一样，都是PE文件的标准特征

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E0dPc0uc-1692268676588)(https://image.3001.net/images/20230331/1680245236_642681f48c4ea0d2f672d.png!small)]

IMAGE_FILE_HEADER

我们看看IMAGE_FILE_HEADER这个结构体，32位、64位中该结构体都是一样的

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine

指定该PE文件能够在32位上运行，还是在64位上执行

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-miRa5gXS-1692268676588)(https://image.3001.net/images/20230331/1680245274_6426821a4f4ff9cbdcb6c.png!small)]

NumberOfSections

表示当前PE文件节区的数量

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xscdEel0-1692268676588)(https://image.3001.net/images/20230331/1680245290_6426822a48a348afa816b.png!small)]

TimeDateStamp

该文件创建的时间，时间从1970年1月1日00:00开始计算

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wloi2LwR-1692268676588)(https://image.3001.net/images/20230331/1680245310_6426823e6fa5ad2255518.png!small)]

PointerToSymbolTable

指向COFF符号表偏移的指针，由于其已经被Debug格式所替代，因此COFF符号表在现今的PE文件中已较少应用

NumberOfSymbols

符号表中符号的数量，由于COFF符号表是一个大小固定的结构，因此只有通过这个字段才能计算出COFF符号表结构的结尾。

SizeOfOptionalHeader

存储该PE文件的可选PE头的大小，在32位的系统中是0x00E0，而在64位系统下则为0x00F0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a6mEgVbx-1692268676589)(https://image.3001.net/images/20230331/1680245327_6426824f7a2e8f7ee9123.png!small)]

Characteristics

该值描述PE文件的一些属性信息，比如是否可执行、是否是一个动态连接库等。该值可以是一个也可以是多个值的和

常用的文件属性值如下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RGdTJDEd-1692268676589)(https://image.3001.net/images/20230331/1680245341_6426825d7f0e75af2c13f.png!small)]比如我们这的和是22，分别是2、20分别对应上面的IMAGE_FILE_EXECUTABLE_IMAGE、IMAGE_FILE_LARGE_ADDRESS_AWARE

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZCDcrzEK-1692268676589)(https://image.3001.net/images/20230331/1680245355_6426826bc3235eadc61cd.png!small)]

IMAGE_OPTIONAL_HEADER

接下来我们看看IMAGE_OPTIONAL_HEADER，其同样也分32位、64位，由于其成员较多因此这里只列出32位且只介绍重要的成员

IMAGE_OPTIONAL_HEADER32

typedef struct _IMAGE_OPTIONAL_HEADER {
   	WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
	DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Magic

文件类型标识

• 普通可执行映像0x010B

• ROM镜像为0x0170

• PE32+为0x020B

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9ZQCYVn2-1692268676589)(https://image.3001.net/images/20230331/1680245386_6426828a0464ad421917f.png!small)]

AddressOfEntryPoint

程序执行入口的RAV，在大多数可执行文件中，入口点（AddressOfEntryPoint）并不指向main（）、winmaim（）或dllmain（）等函数的入口，而是指向运行时库代码，再由其调用这些函数。

ImageBase

文件在内存中的首选装入地址（对于DLL文件来说，即使其未能在此地址装入，也可以将其实际装入地址称为ImageBase）。如果该地址被占用，则会选用其它地址，但是如果文件被载入其它地址，那么就必须要通过重定位表对其进行资源的重定位，这就会导致文件的载入速度变慢

SectionAlignment

映像文件在被装入内存时的区段对齐大小（该成员的默认大小为系统的页面大小）

FileAlignment

映像文件在磁盘上的区段对齐大小

SizeOfImage

映像文件装入内存后的总大小（从ImageBase到最后一个区段的总大小）

SizeOfHeaders

MS-DOS头、PE头、区块表的尺寸之和

NumberOfRvaAndSizes

数据目录成员的数量，一般为0x00000010

IMAGE_DATA_DIRECTORY

其结构如下

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

VirtualAddress：指向某个数据的相对虚拟地址RAV

Size：某个数据块的大小

这两个成员就是定位各种表的关键信息，以下表格就是它的对应关系，其不同成员的信息如下

#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
//      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

由于很多，这里只介绍后面要用到的IMAGE_EXPORT_DIRECTORY（导出表），其结构体的结构如下，同样只介绍 重要的部分

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

NumberOfFunctions

实际导出的函数个数，这个值并不是真的函数数量，他是通过函数序号表中最大的序号减去最小的序号再加上一得到的，例如：一共导出了3个函数，序号分别是：0、2、4，NumberOfFunctions
= 4 - 0 + 1 = 5个

NumberOfNames

导出的函数中具名的函数个数

AddressOfFunctions

导出函数地址数组（数组元素个数=NumberOfFuntions），其可以用来定位导出表中所有函数的地址表，其长度由NumberOfFunctions进行限定，地址表中的成员也是一个RVA地址，在内存中加上ImageBase后才是函数真正的地址。

AddressOfNames

函数名称地址数组（数组元素个数=NumberOfNames），其可以用来定位导出表中所有函数的名称表，它的长度由NumberOfNames进行限定，名称表的成员也是一个RVA地址，在FIleBuffer状态下需要进行RVA到FOA的转换才能真正找到函数名称。

AddressOfNameOrdinals

Ordinal
地址数组（数组元素个数=NumberOfNames），可以用来定位导出表中所有函数的序号表，它的长度由NumberOfNames进行限定，名称表的成员是一个函数序号，该序号用于通过名称获取函数地址。

IMAGE_SECTION_HEADER这个本篇文章用不到，读者感兴趣的话可以去看看参考文章

GetProcAddress() 的原理

• 利用AddressOfName成员转到"函数名称地址数组"（IMAGE_EXPORT_DIRECTORY.AddressOfNames）

• 该地址处存储着此模块的所有的导出名称字符串，通过比较字符串（strcmp），找到指定的函数名称。此时数组的索引记为i

• 利用AddressOfNameOrdinals成员，转到ordinal数组（IMAGE_EXPORT_DIRECTORY.AddressOfNameOrdinals）

• 在ordinal数组中通过i查找相应的值（AddressOfNameOrdinals[i]，即ordinal[i]）

• 查找并跳转到导出函数地址数组所在的地址（IMAGE_EXPORT_DIRECTORY.AddressOfFunctions）

• 将刚刚得到的ordinal的值作为数组索引，得到最终的函数起始地址，类似（AddressOfFunctions[ordinal[i]]）

代码实现

我们用c++实现，去查找MessageBoxW，同时打印出利用GetProcAddress函数获取的地址

#include <windows.h>
#include <stdio.h>
#include <iostream>

using namespace std;

int main(){
    HMODULE hand = LoadLibraryW(L"user32.dll");

    PIMAGE_DOS_HEADER Dos_Header = (PIMAGE_DOS_HEADER)hand;
    PIMAGE_NT_HEADERS Nt_Headers = (PIMAGE_NT_HEADERS)((LPBYTE)hand + Dos_Header->e_lfanew);
    PIMAGE_EXPORT_DIRECTORY Export_Directory = (PIMAGE_EXPORT_DIRECTORY)((LPBYTE)hand + Nt_Headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
    PDWORD fAddr = (PDWORD)((LPBYTE)hand + Export_Directory->AddressOfFunctions);
    PDWORD fNames = (PDWORD)((LPBYTE)hand + Export_Directory->AddressOfNames);
    PWORD  ordinal = (PWORD)((LPBYTE)hand + Export_Directory->AddressOfNameOrdinals);

    for (DWORD i = 0; i < Export_Directory->AddressOfFunctions; i++) {
        LPSTR pFuncName = (LPSTR)((LPBYTE)hand + fNames[i]);

        if (strcmp(pFuncName,"MessageBoxW") == 0) {
            printf("%s\n",pFuncName);
            cout << "Export_Directory value is: " << (LPVOID)((LPBYTE)hand + fAddr[ordinal[i]]) << endl;
            cout << "GetProcAddress value is: " << GetProcAddress(hand, "MessageBoxW") << endl;
        }
    }

}

我们使用python实现简单的Hash加密

import sys

hash = 0x35
if(len(sys.argv) != 2):
    print("usage:\npython3 Hash.py MessageBoxW")
else:
    data = sys.argv[1]
    for i in range(0, len(data)):
        hash += ord(data[i]) + (hash << 1)
    print (hash)

c++中逻辑也相同的

DWORD HashEncode(char* data) {
    DWORD hash = 0x35;
    for (int i = 0; i < strlen(data); i++) {
        hash += data[i] + (hash << 1);
    }
    return hash;
}

实现如下

#include <windows.h>
#include <iostream>

using namespace std;

typedef int (WINAPI* _MessageBoxW)(
    HWND    hWnd,
    LPCWSTR lpText,
    LPCWSTR lpCaption,
    UINT    uType
    );

DWORD HashEncode(char* data) {
    DWORD hash = 0x35;
    for (int i = 0; i < strlen(data); i++) {
        hash += data[i] + (hash << 1);
    }
    return hash;
}

LPVOID FindHash(HANDLE hand) {

    PIMAGE_DOS_HEADER Dos_Header = (PIMAGE_DOS_HEADER)hand;
    PIMAGE_NT_HEADERS Nt_Headers = (PIMAGE_NT_HEADERS)((LPBYTE)hand + Dos_Header->e_lfanew);
    PIMAGE_EXPORT_DIRECTORY Export_Directory = (PIMAGE_EXPORT_DIRECTORY)((LPBYTE)hand + Nt_Headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
    PDWORD fAddr = (PDWORD)((LPBYTE)hand + Export_Directory->AddressOfFunctions);
    PDWORD fNames = (PDWORD)((LPBYTE)hand + Export_Directory->AddressOfNames);
    PWORD  ordinal = (PWORD)((LPBYTE)hand + Export_Directory->AddressOfNameOrdinals);

    for (DWORD i = 0; i < Export_Directory->AddressOfFunctions; i++) {
        LPSTR pFuncName = (LPSTR)((LPBYTE)hand + fNames[i]);

        if (HashEncode(pFuncName) == 17036718) {
            cout << "Success Found: " << pFuncName << endl;

            return (LPVOID)((LPBYTE)hand + fAddr[ordinal[i]]);
        }
    }

}

int main() {
    HMODULE hand = LoadLibraryW(L"user32.dll");
    _MessageBoxW lMessageBoxW = (_MessageBoxW)FindHash(hand);
    lMessageBoxW(NULL, L"Hello", L"Hello", MB_OK);
}

参考：

https://bbs.kanxue.com/thread-252795.htm#msg_header_h2

r[ordinal[i]]);
}
}

}

int main() {
    HMODULE hand = LoadLibraryW(L"user32.dll");
    _MessageBoxW lMessageBoxW = (_MessageBoxW)FindHash(hand);
    lMessageBoxW(NULL, L"Hello", L"Hello", MB_OK);
}

[外链图片转存中…(img-VFHOAAfA-1692268676590)]

参考：

https://bbs.kanxue.com/thread-252795.htm#msg_header_h2

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

👉网安（嘿客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（嘿客红蓝对抗）所有方向的学习路线****👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你有需要可以点击👉CSDN大礼包：《嘿客&网络安全入门&进阶学习资源包》免费分享