Windows编程 - 获取运行程序的基地址

最新推荐文章于 2020-12-18 21:52:29 发布
最新推荐文章于 2020-12-18 21:52:29 发布
阅读量8.4k 收藏 1
点赞数 1
文章标签: Mystra Windows 内存基地址 WINAPI 实例句柄
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caroline_wendy/article/details/19162821
版权

获取运行程序的基地址(base address)

 

本文地址: http://blog.csdn.net/caroline_wendy/article/details/19162821

 

加载到进程地址空间的每一个可执行文件(exe)动态链接库(dll), 都包含一个实例句柄(HINSTANCE);

(w)WinMain的hInstanceExe参数的实际值是一个内存基地址(base address);

系统将可执行文件的映像加载到进程地址空间中的这个位置;

 

入口点函数:

Int WINAPI _tWinMain (

HINSTANCE hInstanceExe,

HINSTANCE,

PTSTR pszCmdLine,

int nCmdShow);

 

可以使用三种方法:

GetModuleHandle (NULL);

__ImageBase;

GetModuleHandleEx (...);

 

代码:

 

 

#include "stdafx.h"
#include <Windows.h>

extern "C" const IMAGE_DOS_HEADER __ImageBase;

void DumppModule () {
	HMODULE hModule = GetModuleHandle(NULL);
	_tprintf(TEXT("with GetModuleHandle(NULL) = 0x%x\r\n"), hModule);

	_tprintf(TEXT("with __ImageBase = 0x%x\r\n"), (HINSTANCE) &__ImageBase);

	hModule = NULL;
	GetModuleHandleEx (
		GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,
		(PCTSTR) DumppModule,
		&hModule);
	_tprintf (TEXT("with GetModuleHandleEx = 0x%x\r\n"), hModule);
}

int _tmain(int argc, _TCHAR* argv[])
{
	DumppModule();
	return 0;
}

 

 

 

 

 

 

ElminsterAumar
关注
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
通过进程ID获取基地
tubaluer
01-14 670
下面代码是通过进程ID来获取进程的基地,创建一个进程快照后,读取进程模块,一般情况下第一个模块就是进程的基地,下面的程序通过模块的字符串匹配来找到基地。通过MODULEENTRY32来读取,下面是代码: #include &lt;Windows.h&gt; #include &lt;Tlhelp32.h&gt; #include &lt;stdio.h&gt; HMODULE fnGet...
获取进程基
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程的基。 然而在x64
[源码和文档分享]获取指定进程的加载基
qq_38474647的博客
12-25 503
背景 之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基加载。VS默认是开启基随机化的,我们也可以设置它使用固定加载基。至于什么是ASLR?或者ASLR有什么作用?本...
Windows下DLL编程技术及应用.rar_I/O_dll_dll编程_windows
09-21
DLL(Dynamic Link Library)是Windows操作系统中的一种共享库机制,它允许多个程序同时使用同一份代码,节省系统资源,提高程序执行效率。这篇压缩包文件包含的资源主要讲解了在Windows环境下如何进行DLL编程以及其...
获取Windows系统的进程运行信息知识.pdf
02-08
通过上述函数和数据结构的组合使用,开发者可以编写程序获取Windows系统上所有进程的详细信息,包括它们正在运行的模块,这对于系统安全分析、性能监控、故障排查等方面具有极大的价值。例如,安全管理员可以利用...
pci配置基地_PCI配置空间简介
weixin_39650139的博客
12-18 1697
配置空间 操作系统PCI总线推出以来,以其独有的特性受到众多厂商的青睐,已经成为计算机扩展总线的主流。目前,国内的许多技术人员已经具备开发PCI总线接口设备的能力。但是PCI总线的编程技术,也就是对PCI总线设备的操作技术,一直是一件让技术人员感到头疼的事情。PCI总线编程的核心技术是对相应板卡配置空间的理解和访问。一般软件编程人员基于对硬件设备原理的生疏,很难理解并操作配置空间,希望硬件开发人员...
怎样获得某个进程的内存基地
weixin_30563917的博客
07-22 740
#include <iostream> #include <windows.h> #include <Tlhelp32.h.> using namespace std; int main() { HANDLE h= CreateToolhelp32Snapshot(8, 780); MODULEENTRY32 me; ...
获取进程的基
经典的误导的专栏
12-06 8498
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基和定位的关键汇编地没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
C语言获取任意Windows程序模块基地
热门推荐
钞sir的博客
06-04 2万+
我已无力接住你,再也不能抗风雨 函数 这里主要用到的函数是EnumProcessModulesEx: BOOL EnumProcessModulesEx( HANDLE hProcess, HMODULE *lphModule, DWORD cb, LPDWORD lpcbNeeded, DWORD dwFilterFlag ); hProcess表示处理的句柄; lphModule表示接收模块句柄列表的数组; cb表示lphModule数组的大小,以字节为单位; lpc.
程序空间
TANGY的博客
08-19 280
程序空间可能大家第一眼看到会觉得是表示的是内存,其实它并不是内存,不能保存数据,实际上它是一块虚拟地,用结构体描述。 我们研究的背景是在kernel2.6.32,32位平台上。 先写一段代码验证程序虚拟地 运行结果: 从输出结果可以看出:父子进程输出的变量值和地是一样的,很好理解,因为子进程继承了父进程,父子并没有对变量进行任何修改。但是,如果我们将代码稍微改动一下:...
windows获取当前exe文件运行路径
jigetage的专栏
06-14 1万+
有一个问题肯定困扰大家很久,在vs中f5启动调试时,默认情况下根目录是.vcproj文件所在目录。而生产的.exe所在的目录往往是加一个debug,或者是 win32/debug等。目录不统一,造成在哪里放置dll,在哪里生成日志文件,相当的困扰。下面展示出如何在vs中获取运行的exe的目录:        TCHAR exeFullPath[MAX_PATH]; // Full path ...
进程基本概念、进程地空间
guorong520的博客
03-31 5600
强调内容今天来谈一谈进程的一些基本概念,认识一些进程状态,重新认识一下程序空间(进程地空间),进程调度算法,环境变量等属性。 一、进程 1.什么是进程? 程序的一个执行实例,正在执行的程序,是一个担当分配系统资源的实体,系统资源包括CPU时间、内存等。 2.linux中的PCB 进程信息被放在一个叫做进程控制块(process control block)的数据结构中,存储进程的属...
通过驱动对象得到Hookport.sys的基地和大小
09-09 685
#include"ntddk.h" PDRIVER_OBJECT g_qudongduixiang = NULL; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表
关闭程序基地改变
fenggewan的博客
01-02 525
关闭程序基地改变 Windowsvista开始有动态基地的功能,只要pe头Dll Characteristics有0x40每次加载时基地都不一样。 相应的IDE,比如VS,也支持动态基的功能。 1 在VS自己编写的程序中关闭基改变属性: ①vs中右键项目 -&gt; 属性 -&gt; 链接器 -&gt; 命令行:去掉/DYNAMICBASE加上...
Windows核心编程:解析导入段拦截API技术
接着,介绍了获取PE文件导入段地的关键函数ImageDirectoryEntryToData,该函数接受模块基地、映像类型标志、目录入口索引等参数,返回指定段的地。示例代码展示了如何使用该函数获取导入段,并遍历导入表进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ElminsterAumar

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值