导出表_eat_遍历

最新推荐文章于 2023-03-22 11:13:12 发布
最新推荐文章于 2023-03-22 11:13:12 发布
阅读量514 收藏 1
点赞数
分类专栏: 内核驱动全部集合 
#include <ntifs.h>
#include <ntimage.h>
#define SystemModuleInformation 11
typedef unsigned char BYTE;
typedef unsigned short WORD;
typedef struct _SYSTEM_MODULE_INFORMATION  // 系统模块信息
{
	ULONG  Reserved[2];
	ULONG  Base;
	ULONG  Size;
	ULONG  Flags;
	USHORT Index;
	USHORT Unknown;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	CHAR   ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _tagSysModuleList {          //模块链结构
	ULONG ulCount;
	SYSTEM_MODULE_INFORMATION smi[1];
} MODULES, *PMODULES;

NTSTATUS __stdcall ZwQuerySystemInformation(
	ULONG_PTR SystemInformationClass,
	PVOID SystemInformation,//__in_out 
	ULONG SystemInformationLength,
	PULONG ReturnLength//__out_opt 
	);
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	DbgPrint("卸载完成!\n");
}
BOOLEAN GetKernelModuleInfo(ULONG *ulSysModuleBase, ULONG *ulSize)
{
	NTSTATUS status;
	ULONG NeededSize, i;
	PMODULES pModuleList;
	BOOLEAN bRet = FALSE;
	pModuleList = NULL;
	__try
	{
		status = ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&NeededSize);//简单说,即调用第11号功能,枚举一下内核中已加载的模块。 功能号为11,先获取所需的缓冲区大小
		if (status != STATUS_INFO_LENGTH_MISMATCH)
		{
			return bRet;
		}
		pModuleList = (PMODULES)ExAllocatePool(NonPagedPool, NeededSize);//申请内存
		if (pModuleList)
		{
			status = ZwQuerySystemInformation(SystemModuleInformation,pModuleList,NeededSize,&NeededSize);

			if (NT_SUCCESS(status))
			{
				__try
				{
					//ntoskrnl.exe总是第一个加载
					*ulSysModuleBase = pModuleList->smi[0].Base;//指向导出表的RVA地址(相对地址)
					*ulSize = pModuleList->smi[0].Size;
					bRet = TRUE;

				}
				__except (EXCEPTION_EXECUTE_HANDLER){

				}
			}
			ExFreePool(pModuleList);
			pModuleList = NULL;
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("%08x\r\n", GetExceptionCode()));
	}
	if (pModuleList)
		ExFreePool(pModuleList);

	return bRet;
}
BOOLEAN EunmEATTable(PVOID ulModuleBase)
{
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS NtDllHeader;
	IMAGE_OPTIONAL_HEADER opthdr;
	ULONG_PTR* arrayOfFunctionAddresses;
	ULONG_PTR* arrayOfFunctionNames;
	WORD* arrayOfFunctionOrdinals;
	ULONG_PTR functionOrdinal;
	ULONG_PTR Base, x, functionAddress;
	IMAGE_EXPORT_DIRECTORY *pExportTable;
	char *functionName;

	__try
	{
		pDosHeader = (PIMAGE_DOS_HEADER)ulModuleBase;//dos头
		if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
		{
			DbgPrint("IMAGE_DOS_SIGNATURE failed\r\n");
			return FALSE;
		}
		NtDllHeader = (PIMAGE_NT_HEADERS)(ULONG_PTR)((ULONG_PTR)pDosHeader + pDosHeader->e_lfanew);//nt头
		if (NtDllHeader->Signature != IMAGE_NT_SIGNATURE)
		{
			DbgPrint("IMAGE_NT_SIGNATURE failed\r\n");
			return FALSE;
		}
		opthdr = NtDllHeader->OptionalHeader;//pe可选镜像头
		pExportTable = (IMAGE_EXPORT_DIRECTORY*)((ULONG_PTR)ulModuleBase + opthdr.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); //得到导出表		//指向导出表的RVA地址(相对地址)
		arrayOfFunctionAddresses = (ULONG_PTR*)((ULONG_PTR)ulModuleBase + pExportTable->AddressOfFunctions);  //地址表
		arrayOfFunctionNames = (ULONG_PTR*)((BYTE*)ulModuleBase + pExportTable->AddressOfNames);         //函数名表
		arrayOfFunctionOrdinals = (WORD*)((BYTE*)ulModuleBase + pExportTable->AddressOfNameOrdinals);// 函数索引号RVA
		Base = pExportTable->Base;
		for (x = 0; x < pExportTable->NumberOfFunctions; x++) //在整个导出表里扫描
		{
			functionName = (char*)((BYTE*)ulModuleBase + arrayOfFunctionNames[x]);//函数名字
			functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; //函数索引号RVA[x]
			functionAddress = (ULONG_PTR)((BYTE*)ulModuleBase + arrayOfFunctionAddresses[functionOrdinal]);//函数地址

			DbgPrint("%d %s:0x%08X\r\n", x, functionName, functionAddress);
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER){
	}
	return FALSE;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
	ULONG_PTR ulong_kernel_base;
	ULONG_PTR ulong_kernel_size;
	DriverObject->DriverUnload = DriverUnload;
	if (GetKernelModuleInfo(&ulong_kernel_base, &ulong_kernel_size))
	{
		EunmEATTable((PVOID)ulong_kernel_base);
	}
	return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔记:PE结构(6)导出解析
Q324411601的博客
09-01 303
笔记:PE结构(6)导出解析
遍历导出
IDoubleTong的博客
02-28 688
1.通过DOS头部找到PE头部 &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;&amp;amp;amp;nbsp;DOS头部的数据结构如下: _IMAGE_DOS_HEADER +0x000 e_magic : Uint2B +0x002 e_cblp : Uint2B +0x004 e_cp : Uint2B +0x006 e_crlc
导出_eat_遍历_exe程序
05-27 694
#include &lt;windows.h&gt; #include &lt;stdio.h&gt; //列举导出的函数,参数就是dll模块的地址 BOOLEAN EunmEATTable(PVOID ulModuleBase) { //这里大家都知道是变量的声明 PIMAGE_DOS_HEADER pDosHeader; //dos头结构体 PIMAGE_NT_HEADERS Nt...
【转载】遍历pe导出
weixin_30830327的博客
06-16 138
optional头的最后一个域是一个数组列,该数组大小为16,元素为IMAGE_DATA_DIRECTORY,至于以后平台是否会增加,说不清楚,但是FileHeader中明确给出了该数组的大小。该数组的第一个元素就是指向输出的。而输出的定义如下:typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; D...
遍历导出(上课代码)
weixin_30764771的博客
03-28 95
// 01 遍历导出.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" //************************************ // Method: IsPeFile // FullName: IsPeFile // Access: public //...
eed.rar_easyui 导出excel_easyui导出
09-20
这涉及到遍历datagrid的所有行和列,然后将数据用逗号分隔并组合成字符串。 4. **创建文件流**:在前端生成CSV文件并提供下载。可以使用JavaScript的Blob对象和URL.createObjectURL方法来创建一个临时的文件URL,...
aa.rar_GridView导出excel_导出 excel
09-21
这可以通过遍历GridView的每一行和每一列,然后将值写入到对应的Excel单元格中来实现。 4. **导出响应**:最后,你需要将生成的Excel文件作为HTTP响应发送给客户端。你可以设置响应的MIME类型为`application/vnd.ms...
extest.rar_数据导出_数据库 导出
09-22
首先,"extest.rar_数据导出_数据库 导出"这个标题明我们讨论的是一个关于数据导出的压缩文件,可能包含了数据库的导出过程或者结果。".rar"是一种常见的压缩文件格式,用于将多个文件或文件夹打包成一个单一的...
filelist_遍历目录文件大小_
10-04
描述中提到的“遍历目录,取文件路径及大小,并实现导出到文本文件中”是这一过程的具体目标。下面我们将详细探讨这个主题。 首先,我们需要了解如何遍历目录。在不同的操作系统中,遍历目录的方法有所不同。在...
万能NODEB参数导出工具_0.82beta.xlsm
04-05
万能NODEB参数导出工具_0.82beta.xlsm
导出
weixin_43990313的博客
07-08 305
1.概述 某个DLL中的函数被EXE或者另外的DLL使用需要借助导出(有的EXE也有导出)。数据目录项的第一个结构,就是导出.。 2.结构 数据目录项的结构 这个结构在OptionalHeader的最后一个结构 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 其中 Virtua
PE 导出
不会写代码的丝丽
04-09 649
名称寻址 我们下window经常导出函数,因此在动态库我们往往有一个特殊结构叫做导出。 Microsoft官方文档说明 我们首先看一个导出模块信息 #export.def EXPORTS MsgBox Foo TestFunc ABCDFunc 上面我们导出四个函数且是名称导出 我们的导出地址位于NT头中数据目录的第一项。 这个导出目录的位于虚拟地址的2060h处 换算成文件地址为660h 相关的数据结构 对应上面的数值我们得出以下数据 Field Value 备注 E
补:PE文件遍历导出——有人为你哭,说明你还是个东西
sxr__nc的博客
04-16 578
之前一直要写的遍历导出,一直没写,最近回去复习了一下PE结构关于IAT和EAT的内容,写了个遍历导出的程序,也算是结了之前文章里说的话吧。 源码: // ExportTable.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include<windows.h> using namespace s...
导出(EAT)规则特例
yellow的博客
02-26 598
GetLastError( )函数由kernel32.dll库文件导出,用ida打开找到该函数,发现没有汇编代码,只有一段字符串定义(和微软的导出规则不太一样哦),下图: 再转到ntdll.dll查找RtlGetLastWin32Error( )函数源代码,如下图: 代码解释:获取TEB地址,再获取TEB偏移0x34处的4字节数据返回 查看TEB结构,偏移0x34处LastErro...
WindowsPE 第五章 导出编程-1(枚举导出
天使也掉毛
12-06 824
导出编程 枚举导出
PE文件解析--导出
qq_31125257的博客
12-22 1370
1、定位导出 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
PE导出,C语言打印导出信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 777
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出
C语言遍历导入导出
VI___
07-06 2093
通过C语言遍历PE文件的导入导出
获取自身驱动的模块地址和大小长度
追逐光芒,追随内心
10-28 557
//功能:模块基址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
pg_dump 导出数据
最新发布
09-02
您可以使用`pg_dump`命令来导出数据。以下是一个示例命令: ``` pg_dump -t table_name -a database_name > dump_file.sql ``` 其中,`table_name`是要导出数据的的名称,`database_name`是要导出数据的数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值