通过符号文件获取函数地址

最新推荐文章于 2023-12-22 22:00:00 发布
最新推荐文章于 2023-12-22 22:00:00 发布
阅读量3.4k 收藏 5
点赞数 3
分类专栏: windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/51768802
版权 
//通过符号文件获取函数地址

#include <windows.h>
#include <stdio.h>
#include <Dbghelp.h>
#include <tchar.h>
#include "ntdll.h"
#pragma comment(lib,"dbghelp.lib")

//注意:需要这两个文件
//dbghelp.dll	
//symsrv.dll

//获取函数地址PDB
ULONG_PTR GetFunctionAddressPDB(HMODULE hMod, const WCHAR * szApiName)
{
	//定义变量
	BYTE memory[0x2000] = {0};

	//参数效验
	if (hMod == NULL)return NULL;
	if (szApiName == NULL)return NULL;


	ZeroMemory(memory, sizeof(memory));
	SYMBOL_INFOW * syminfo = (SYMBOL_INFOW *)memory;
	syminfo->SizeOfStruct = sizeof(SYMBOL_INFOW);
	syminfo->MaxNameLen = MAX_SYM_NAME;
	syminfo->ModBase = (ULONG_PTR)hMod;

	if (!SymFromNameW(GetCurrentProcess(), szApiName, syminfo))
	{
		printf("SymFromName %ws returned error : %d\n", szApiName, GetLastError());
		return 0;
	}

	return (ULONG_PTR)syminfo->Address;
}

//符号获取函数地址
PVOID SymGetProcAddress(LPCWSTR szDllName, LPCWSTR szApiName)
{
	//变量定义
	TCHAR symbolPath[0x2000] = { 0 };
	TCHAR szPath[MAX_PATH] = { 0 };

	//参数效验
	if (szDllName == NULL)return NULL;
	if (szApiName == NULL)return NULL;


	GetModuleFileName(0, szPath, ARRAYSIZE(szPath));
	TCHAR * temp = _tcsrchr(szPath, TEXT('\\'));
	if (temp == NULL)return NULL;
	*temp = 0;
	_tcscat_s(symbolPath, TEXT("SRV*"));
	_tcscat_s(symbolPath, szPath);
	_tcscat_s(symbolPath, TEXT("*http://msdl.microsoft.com/download/symbols"));
	SymSetOptions(SYMOPT_UNDNAME | SYMOPT_DEFERRED_LOADS | SYMOPT_FAVOR_COMPRESSED);
	if (!SymInitializeW(GetCurrentProcess(), symbolPath, TRUE))
	{
		return NULL;
	}

	HMODULE hDll = GetModuleHandle(szDllName);
	PVOID lpRet = NULL;
	lpRet = (PVOID)GetFunctionAddressPDB(hDll, szApiName);
	SymCleanup(GetCurrentProcess());

	return lpRet;
}




int main(void)
{

	PVOID lpFuntAddressRet = NULL;
	if (GetModuleHandle(TEXT("kernelbase.dll")))
	{
		//高版本系统
		lpFuntAddressRet = SymGetProcAddress(TEXT("ntdll.dll"), TEXT("ZwReadVirtualMemory"));
		//lpRet = SymGetProcAddress(TEXT("ntdll.dll"), TEXT("RtlDispatchAPC"));
	}
	else
	{
		lpFuntAddressRet = SymGetProcAddress(TEXT("kernel32.dll"), TEXT("ZwReadVirtualMemory"));
		//lpRet = SymGetProcAddress(TEXT("kernel32.dll"), TEXT("BaseDispatchAPC"));
	}
	printf("%p", lpFuntAddressRet);
	return 0;
}

125096
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过符号表找到系统未导出的函数地址源码
05-16 1721
作 者: FlyToTheSpace说明:第一步设置符号表路径.比如 E:/WINDOWS/system32/Symbols/第二步指定系统动态库,比如user32.dll第三步指定系统库函数名比如ValidateHwnd.如果调用成功的话,返回值就为未导出的库函数地址.例外说明.使用ollydbg设置好了符号表路径,好像是没有效果.只有把符号文件放到系统目录/system32/symbols/里
c语言 函数名调用函数,在C语言里, 如何通过输入函数名字来调用函数?
weixin_32308019的博客
05-20 1890
在C语言里, 如何通过输入函数名字来调用函数?旧文重发。大致有三种方法:函数字典缺点是代码耦合在一起, 无法复用。#include #include #include #include void foo() { std::cout << "foo()"; }void boo() { std::cout << "boo()"; }void too() { std::cout ...
vc 获取函数名称真实地址
weixin_30682127的博客
08-02 174
首先写一个很简单的main函数: int main(){ printf("main的地址(?):%08x",main); } 单步调试,可得知 main函数的真实入口地址是:00be91a0 然而我们控制台输出的值是 为什么会出现这样的差别呢?院子里有一篇大牛写的有关注入的文章:http://www.cnblogs.com/fanzhidong...
16 驱动模块的符号表符号导出
jklinux的博客
06-06 3112
查看elf文件的信息 readelf test.ko -ako文件组成:1). elf文件头 ELF Header: Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 Class: ELF32 Data:
Symbol解析
shao_xuan_的博客
12-28 2827
Symbol解析什么是Symbol作用 什么是Symbol ES5中提供了6种数据类型分别是:undefined、null、boolean、string、number、object。ES6中新增了一种数据类型Symbol来表示唯一的值,每个创建的Symbol都是唯一的,这样在实际运用中可以创建一些唯一的属性及定义私有变量。 如何创建Symbol值: let a = Symbol(); let b = Symbol(); console.log(a);//Symbol() console.log(b);//S
调试文件 pdb 符号文件下载
最新发布
03-16
在Windows环境中,为了进行内核级调试,还需要获取内核符号文件。这些文件提供了操作系统内核的详细信息,使得开发者可以深入理解系统行为。微软提供了符号服务器,其中包含了大量官方的pdb文件,包括内核和系统组件...
vs2017调试符号文件
02-29
调试符号文件(Program Database,简称PDB)是微软为编译器和调试器设计的一种格式,它包含了程序在编译时的源代码信息、变量和函数的映射关系、行号信息等。这些信息使得调试器能够在运行时将机器码与源代码对应...
PHP 获取文件权限函数介绍
12-18
通过这个`getChmod()`函数,我们可以轻松地获取任何文件的权限值,如`chmod`命令在终端上显示的那样。例如,如果你调用`getChmod('/path/to/your/file')`,你将得到一个类似'0755'的结果,这个值可以用来判断文件的...
获取远程文件大小的php函数
12-17
在提供的代码中,我们看到一个名为`getFileSize()`的PHP函数,它通过HTTP协议与远程服务器通信,从而获取指定URL的文件大小。下面我们将详细探讨这个函数的工作原理及其相关的知识点。 首先,`getFileSize()`函数...
易语言取API函数地址
07-21
3. 调用`GetApiAddress`,传入函数名和库名,获取函数地址。 4. 使用获取到的函数地址进行函数调用。 对于压缩包内的“易语言取API函数地址源码”文件,这可能是一个完整的示例程序,演示了如何在易语言中实现上述...
是否可以从使用dbghelp库获得的地址中读取值并将其写入地址
04-04
我有一种情况是,我使用dbghelp库获取变量的地址。我先加载符号,然后使用SymFromName获取变量的地址。现在我有一个独立运行的exe,其中我必须设置变量的值我可以设置并获取...的值吗?
内核符号之获得内核符号地址1__symbol_get
yldfree的博客
07-02 3251
void *__symbol_get(const char * symbol)symbol: 符号名ret:    符号地址,不存在则返回空头文件: #include  &lt;linux/module.h&gt;
Linux内核函数地址获取秘籍:多种方法解析
GitHub_miao的博客
12-22 1030
本文介绍了五种获取内核函数地址的方法,包括使用System.map文件、读取内核符号表、编写内核模块、使用内核头文件以及通过内核符号导出。每种方法都有其适用场景和用途,可以根据具体需求选择最合适的方法。通过这些方法,可以在Linux内核开发和调试中更方便地获取内核函数地址,从而进行进一步的操作。希望这些示例代码和详细说明对大家有所帮助,可以更好地理解和应用这些方法。另外,我们还为大家准备了Linux全套学习资料,小伙伴们记得来找我领取哦!
解析pdb文件得到未导出变量地址(转)
07-31 646
程序要用到dbghelp.dll中的一些函数 http://msdn.microsoft.com/en-us/library/ms679291%28VS.85%29.aspx 要自己下载系统对应的符号文件 首先是一些初始化的东西: 设置符号选项,调用下面两个函数 DWORD Options = SymGetOptions(); Options = Options|SY...
利用PDB文件获取未导出全局变量、函数等信息
0xC0000005
11-25 2155
方法来源于对Sysinternals的procexp的逆向。 在通过kernel的pdb获取未导出的MmSizeOfPagedPoolInBytes和MmMaximumNonPagedPoolInBytes时,procexp执行了如下几个步骤: 1. 获取kernel的映像文件名称     调用IsProcessorFeaturePresent判断PAE是否开启,以确定使用ntoskrn
服务程序编写-------详细介绍如何构建你自己的服务程序(上)
kendyhj9999的专栏
01-01 617
from:http://blog.sina.com.cn/s/blog_61d65e360100np53.html 服务程序编写-------详细介绍如何构建你自己的服务程序(上) (2010-12-12 13:59:04) 转载▼     服务程序编写详细教程 服务,作为Windows的重要组成部分,一直以来充满了神秘感。网络上流传的相关
自己调用NTDLL函数
weixin_34066347的博客
09-25 610
一、概述 在DLL初始化的时候有时不能调用其它系统DLL的函数,以免导致问题,但有时候又必须要调用怎么办?一种办法就是自己直接调用NTDLL接口,这样肯定没有问题。 下面我写个自己调用Registry的封装类,用来代替原本系统注册表API。 二、申明NTDLL导出函数 在自己工程中需要调用NTDLL导出函数,可以通GetProcessAddr来获取函数地址再调用,也可以通过导入库的方式(这种需...
显示EXE,DLL或PDB文件中指定函数的Parameter和local variables信息
eaglenet的专栏
03-04 2189
源码例子:显示EXE,DLL或PDB文件中指定函数的Parameter和local variables信息        上次写了列出EXE,DLL或PDB文件中的符号信息,这次再贴一段代码。举例说明如何列举一指定函数的局部信息,即函数的参数和局部变量信息。呵呵,本人即不爱说废话,又怕打字太累。^_^,开门见山,来看下面代码吧。Enjoy!//=====================
dlsym获取静态函数地址
05-25
对于静态函数地址获取,可以通过编译时选项 -fvisibility=hidden 或者 __attribute__((visibility("hidden"))) 将其隐藏,然后在同一文件中使用函数指针进行获取。例如: ```c // example.c #include __...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值