程序运行中如何找基址ImageBase

于 2024-05-22 21:35:58 发布
阅读量294 收藏 3
点赞数 3
分类专栏: c++ 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meis27461/article/details/139121975
版权

使用工具ollydbg

直接ollydbg加载程序后打开Memory视图,直接找到内容为PE header标识的这一条就是基址。
如图所示
PE Header
打开就可以看到两条重要信息,PE标识和PE头偏移量。
如图所示
在这里插入图片描述

C++读取运行中的进程主模块的基址

注意:如果平台是64位,一定要把代码也编译为64位,因为32位的程序无法枚举64位进程的模块

我们可以通过GetModuleInformation获取lpBaseOfDll(模块的基址ImageBase)

下附代码

#include <windows.h>
#include <iostream>
#include <string>
#include <Psapi.h>

using namespace std;

struct ProcessInfo {
    wstring name;
    DWORD pid;
    DWORD image_base;
};

// 获取指定进程的名称
ProcessInfo GetProcessName(DWORD processID) {
    ProcessInfo PCE;
    PCE.pid = processID;
    //获取进程句柄
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, processID);
    if (hProcess != NULL) {
        HMODULE hModules[1024];
        DWORD cbNeeded;
        //获取进程模块
        if (EnumProcessModules(hProcess, hModules, sizeof(hModules), &cbNeeded)) {
            TCHAR szProcessName[MAX_PATH];
            //获取主模块名称(一般为可执行文件)
            if (GetModuleBaseName(hProcess, hModules[0], szProcessName, sizeof(szProcessName))) {
                PCE.name = szProcessName;
            }
            else {
                DWORD error = GetLastError();
                cerr << "GetModuleBaseName failed with error: " << error << endl;
            }
            MODULEINFO moduleInfo;
            if (GetModuleInformation(hProcess, hModules[0], &moduleInfo, sizeof(moduleInfo))) {
                PCE.image_base = (DWORD)moduleInfo.lpBaseOfDll;
            }
            else {
                DWORD error = GetLastError();
                cerr << "GetModuleInformation failed with error: " << error << endl;
            }
        }
        else {
            DWORD error = GetLastError();
            cerr << "EnumProcessModules failed with error: " << error << endl;
        }
        CloseHandle(hProcess);
    }
    else {
        DWORD error = GetLastError();
        cerr << "OpenProcess failed with error: " << error << endl;
    }
    return PCE;
}

int main() {
    DWORD aProcesses[1024], cbNeeded, cProcesses;
    //枚举进程
    if (!EnumProcesses(aProcesses, sizeof(aProcesses), &cbNeeded)) {
        cerr << "EnumProcesses failed." << endl;
        return 0;
    }

    // 计算获取到的进程数
    cProcesses = cbNeeded / sizeof(DWORD);

    // 枚举进程数组并输出名称
    for (DWORD i = 0; i < cProcesses; ++i) {
        if (aProcesses[i] != 0) {
            ProcessInfo PCE = GetProcessName(aProcesses[i]);
            if (!PCE.name.empty()) {
                printf("PID: %-10d", PCE.pid);
                printf("ImageBase: %016X", PCE.image_base);
                printf("%5s");
                printf("Module Name: %ls\n", PCE.name.c_str());
            }
        }
    }
    return 0;
}
Yehger
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
读取进程基址
04-02
读取进程基址.ec
CE+OD基址详解
12-07
### CE+OD基址详解 #### 知识点一:理解CE与OD的基本概念及其在游戏的应用 - **CE(Cheat Engine)**:一款内存修改工具,主要用于游戏作弊,但同样适用于逆向工程、调试等场景。通过它可以搜索游戏进程特定...
PE文件学习
qq_43210436的博客
02-18 634
**PE文件学习记录** 大三下的选修课程《恶意代码分析》需要学习PE文件的相关知识,以此为契机,记录一下自己的学习过程并对知识加以整理和理解 PE文件学习记录PE文件相关基本概念二级目录三级目录 PE文件相关基本概念 1.基地址(ImageBase): PE文件被加载到内存后,内存的版本被称为模块(Module),映射文件的起始地址被称为模块句柄(hModule)。这个初始内存地址也被称为基地址(ImageBase)。 2虚拟地址(VA): ...
获取当前进程的IMAGE_BASE
azraelxuemo的博客
01-19 1335
在实战可能我们很多操作需要基于IMAGE_BASE,下面就给大家介绍一下怎么获取IMAGE_BASE 获取当前线程的IMAGE_BASE GetModuleHandle #include<windows.h> #include<stdio.h> int main() { HMODULE hModule = GetModuleHandle(NULL); PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; if (
pe知识
Iamangle122的博客
12-12 487
c00005防止内存出错,内核重载:操作系统启动内核.exe文件,重载用peloader启动操作系统的exe filebuffer是直接从硬盘加载到内存 imagebuffer是文件映像,做了内存对齐 imageBuffer 是fileBuffer的拉伸,可以运行啦 imageBase是内存镜像基址。这里的大小不确定。 执行的时候还要做地址转换,把虚拟地址转换成物理地址。 第一节 代码
获取其他进程的IMAGE_BASE
azraelxuemo的博客
01-20 1087
文章目录获取进程获取IMAGE_BASEZwQueryInformationProcessNtQueryInformationProcessEnumProcessModules(不稳定不推荐) 获取进程 要获取其他的进程的IMAGE_BASE,首先要获取到其他进程,我们封装一个获取进程的API HANDLE GetProcessHandle(WCHAR* ProcessName) { HANDLE hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCES
获取进程基址
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程的基址。 然而在x64
zd.rar_基址_基址
09-23
基址通常指的是一个程序在内存的起始地址,它对于理解和控制程序的执行至关重要。本资源"zd.rar_基址_基址"提供了一个帮助新手学习如何自动查基址的源码,这是一份非常有价值的教育资源。 首先,我们要理解...
基址五种方法OD+CE,以及单独基址的方法。非常实用
05-24
### 基址五种方法OD+CE详解 本文旨在详细介绍使用OllyDbg (OD) 和 Cheat Engine (CE) 这两种工具寻程序基址的多种方法。这些技巧对于进行逆向工程、调试和修改游戏等场景非常有用。下面我们将逐一解析文提到...
关闭程序动态基址,好用
03-20
关闭程序动态基址的工具
游戏CALL和基址图文教程+源码
06-08
在游戏内存CALL,通常是为了识别和理解游戏的内部逻辑,例如到特定功能的执行入口点。这通常涉及到以下步骤: 1. 使用调试器(如OllyDbg、x64dbg等)附加到游戏进程。 2. 到游戏执行的关键行为,比如角色...
滴水逆向三期 PE基础 移动重定位表与修改IMAGEBASE
四位的博客
05-16 1869
分析 一 移动重定位 直接把整张表复制后修改目录表的RVA即可 二 修改ImageBase ①首先当然是修改ImageBase ②遍历重定位表的数据加上新旧ImageBase的差值, 就是在打印的基础上加上修改数据 重定位表的结构 SECTION为所属区段, RVA为大表, items为有多少数据(SizeofBlock-8)/2 因为小表为word RVA为要修改数据的地址(非真实地址) offset为文件偏移 type为数据属性 FarAddress为真正的地址也是修改imagebase后应该修改
C语言获取任意Windows程序模块基地址
热门推荐
钞sir的博客
06-04 2万+
我已无力接住你,再也不能抗风雨 函数 这里主要用到的函数是EnumProcessModulesEx: BOOL EnumProcessModulesEx( HANDLE hProcess, HMODULE *lphModule, DWORD cb, LPDWORD lpcbNeeded, DWORD dwFilterFlag ); hProcess表示处理的句柄; lphModule表示接收模块句柄列表的数组; cb表示lphModule数组的大小,以字节为单位; lpc.
获取指定进程的加载基址
m0_46135508的博客
07-13 3826
背景之前,自己写过一个进程内存分析的小程序,其,就有一个功能是获取进程在内存的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
PE格式深入浅出之RAV,AV,ImageBase之间的关系
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系(二)    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
挂起的方式创建进程,获取ImageBase OEP
qq_41490873的博客
02-27 835
BOOL WINAPI GetThreadContext( In HANDLE hThread, Inout LPCONTEXT lpContext ); 参数一:指定挂起的线程的句柄 参数二:线程上文结构体 //第一步 已挂起的方式创建一个进程 CONTEXT ct; ct.ContextFlags=CONTEXT_FULL; //一定要指定标志不然不会获取相应的值 DWORD dwEn...
基址五种方法od+ce
最新发布
06-06
4. 动态反汇编:在程序运行时,使用OD或CE的反汇编功能,动态地查看程序的汇编代码。通过跟踪程序的跳转指令,可以到程序的基址。 5. 手动定位:根据程序的一些已知地址,如API函数地址等,手动计算出程序的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值