获取当前进程的IAT

最新推荐文章于 2023-05-02 16:27:33 发布
最新推荐文章于 2023-05-02 16:27:33 发布
阅读量451 收藏
点赞数
分类专栏: C++ 
#include <windows.h>  
#include <stdio.h>  
  
int main(int argc, char* argv[])  
{  
    HMODULE hModule = ::GetModuleHandleA(NULL);  
    IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule;  
    IMAGE_OPTIONAL_HEADER* pOpNtHeader = (IMAGE_OPTIONAL_HEADER*)((BYTE*)hModule + pDosHeader->e_lfanew + 24); //这里加24  
    IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)hModule + pOpNtHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);  
  
    while (pImportDesc->FirstThunk)  
    {  
        char* pszDllName = (char*)((BYTE*)hModule + pImportDesc->Name);  
        printf("模块名称:%s\n", pszDllName);  
  
        DWORD n = 0;  
        //一个IMAGE_THUNK_DATA就是一个导入函数  
        IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)((BYTE*)hModule + pImportDesc->OriginalFirstThunk);  
        while (pThunk->u1.Function)  
        {  
            //取得函数名称  
            char* pszFuncName = (char*)((BYTE*)hModule+pThunk->u1.AddressOfData+2); //函数名前面有两个..  
            printf("function name:%-25s,  ", pszFuncName);  
            //取得函数地址  
            PDWORD lpAddr = (DWORD*)((BYTE*)hModule + pImportDesc->FirstThunk) + n; //从第一个函数的地址,以后每次+4字节  
            printf("addrss:%X\n", lpAddr);  
            n++; //每次增加一个DWORD  
            pThunk++;  
        }  
        printf("\n");  
        pImportDesc++;  
    }  
    return 0;  
}

singebogo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过WINNT.H定义的结构体,获取进程IAT
enjoy5512的博客
06-02 1124
利用已定义的PE文件结构体获取进程IAT
使用IAT表注入模块到进程中 样例
Fly Follow the Heart
07-30 5357
模块注入到进程的方法有很多,想一一写例子,学习一下,也练习一下!         首先先从IAT表注入开始吧!         如果了解PE文件的格式的话,原理很简单。当一个模块被系统加载起来后,会遍历模块的导入表,将静态导入的函数地址填充到导入表中,以便进程执行起来后,调用到该模块时,能够使用导入函数。要获取导入函数地址,首先要将导出该函数的模块加载起来。         那方法来了,
C++获取当前进程IAT的方法
09-04
主要介绍了C++获取当前进程IAT的方法,实例讲述了IAT(导入地址表)的获取方法,在Windows应用程序开发中有着非常实用的应用价值,需要的朋友可以参考下
Hook进程IAT
u011569253的博客
05-10 633
这两天研究下IAT表的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT表。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT表做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
C++封装IATHOOK类实例
09-04
这个函数遍历所有加载到当前进程的模块(DLL和EXE),并针对每个模块执行IAT(Import Address Table)替换操作。为了获取当前模块的句柄,它使用了`VirtualQuery`函数,这样可以确保不在此模块上进行自我挂钩。然后...
C++基于hook iat改变Messagebox实例
09-04
它首先获取当前进程的模块句柄,然后通过DOS头和NT头找到IAT,遍历IAT直到找到`user32.dll`和`MessageBoxA`。 6. **安全性和注意事项**: 使用Hook技术时,必须谨慎操作,因为错误的Hook可能导致程序崩溃或不稳定...
(转)替换 IAT 中的导入函数地址实现 Hook API
05-27
1. **获取模块句柄**:首先,需要获取目标模块的句柄,例如 `GetModuleHandle(NULL)` 会返回当前进程的主模块句柄,通常是可执行文件本身。 2. **定位导入地址表**:接着,我们需要找到目标模块的导入地址表。这...
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8156
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
用驱动遍历进程IAT
Misaka10046的博客
05-02 201
WIN7 X86。
IAT 实验程序
03-29
IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序IAT 实验程序
获取IAT里的函数地址并修改
stonesharp的专栏
07-15 7668
/* 1 */HANDLE hCurrent = GetModuleHandle(NULL);/* 2 */IMAGE_DOS_HEADER *pidh;/* 3 */IMAGE_NT_HEADERS *pinh;/* 4 */IMAGE_DATA_DIRECTORY *pSym
WindowsAPI解析IAT地址
迪迦 • 奥特曼
09-18 274
#include <stdio.h> #include <windows.h> int main(int argc,char* argv[]){ /* typedef struct _IMAGE_IMPORT_DESCRIPTOR { union{ DWORD Characteristics; ...
IAT HOOK及遍历IAT
哈尔滨-猫猫
01-03 830
// ConsoleApplication2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include // 定义MessageBoxA函数原型 typedef int (WINAPI *PFNMESSAGEBOX)(HWND, LPCSTR, LPCSTR, UINT uType); int W
什么是 IAT(一)
北冥有鱼的Blog
03-13 9938
转自:信安之路IAT 三连之什么是 IAT?原创 2018-02-26 x-encounter 信安之路IAT 的全称是 ImportAddress Table。在可执行文件中使用其他 DLL 可执行文件的代码或数据,称为导入或者输入,当 PE 文件载入内存时,windows 加载器会定位所有导入的函数或数据将定位到的内容填写至可执行文件的某个位置供其使用,而这个操作是需要借助导入表来完成的。导入...
C++获取指定程序的IAT
afsafs1231的博客
09-16 179
今天学习导入表,于是便通过程序将获取IAT的过程实现一下,各位看官发现什么问题,请多指教。谢谢!废话不多说,下面是代码:#include<iostream> #include<windows.h> #include<winnt.h> usingnamespacestd; intmain(intargc,char*a...
IAT表是如何实现的
zzx的博客
12-16 2298
我们知道当程序要调用系统dll时,会用到IAT表 具体是怎么实现的呢, 假设我们程序中某处要用到MessageBoxA,那么这里会有两种形式,一种是先call到一个地址,这个地址中是一个jmp [A],A中存放着数据,数据内容就是我们的MessageBox的入口地址。另一种情况是直接calll到MessageBoxA的入口地址即 [A],千万要注意是A中存放的数据,而不是A本身,A中存放的数据
4.ring0-遍历IAT(特例NTOS)
hgy413的专栏
07-25 1659
原NTOS的IAT只能通过IMAGE_DIRECTORY_ENTRY_IAT(12)来获得,因为NTOS加载完后,INIT方式加载,所以IMAGE_DIRECTORY_ENTRY_IMPORT对应的区域被释放了! 坑爹啊, 可以用windbg很直观的看到: X86: x64: 其他的IAT遍历代码如下: NTSTATUS EnumIATTable(ULO
获取IAT表中的函数地址
最新发布
06-01
获取IAT表中的函数地址可以使用以下步骤: 1. 获取PE文件的基地址 2. 定位到PE文件的导入表(Import Table),获取导入表的 RVA 和 Size 3. 遍历导入表中的每一个导入描述符(Import Descriptor) 4. 对于每一个导入描述符,获取其名称表(Name Table)的 RVA 和 Size,以及导入地址表(Import Address Table,也称为IAT)的 RVA 5. 遍历导入地址表中的每一个函数地址,即可获取IAT表中的函数地址。 下面是伪代码实现: ```C++ // 获取PE文件基地址 HMODULE hModule = GetModuleHandle(NULL); // 获取导入表 PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)hModule + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); DWORD dwImportSize = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size; // 遍历导入表 while (pImportDesc->Name != 0) { // 获取名称表和IAT表 PIMAGE_THUNK_DATA pNameTable = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->OriginalFirstThunk); PIMAGE_THUNK_DATA pIat = (PIMAGE_THUNK_DATA)((DWORD)hModule + pImportDesc->FirstThunk); // 遍历IAT表中的每一个函数地址 while (pNameTable->u1.AddressOfData != 0) { // 获取函数名称 PIMAGE_IMPORT_BY_NAME pImportByName = (PIMAGE_IMPORT_BY_NAME)((DWORD)hModule + pNameTable->u1.AddressOfData); LPCSTR lpFunctionName = (LPCSTR)pImportByName->Name; // 获取函数地址 FARPROC fpFunction = (FARPROC)pIat->u1.Function; // 处理函数地址 // ... // 下一个函数 pNameTable++; pIat++; } // 下一个导入描述符 pImportDesc++; } ``` 注意:在遍历导入表时,需要检查导入描述符的 Name 字段是否为 0,以判断是否到达导入表的末尾。在遍历IAT表时,需要检查名称表中的 AddressOfData 字段是否为 0,以判断是否到达IAT表的末尾。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值