根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址

最新推荐文章于 2023-08-14 10:30:37 发布
最新推荐文章于 2023-08-14 10:30:37 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_whu/article/details/13020985
版权
本文详细介绍了如何分析PE(Portable Executable)文件格式,以定位并获取LoadLibraryA和GetProcAddress这两个重要API函数的地址。通过理解PE文件结构,包括节区、导出表和导入表等,读者将能够实现从二进制文件中提取这些关键函数的指针,从而在没有源代码的情况下进行动态链接库的加载和函数调用。
摘要由CSDN通过智能技术生成

本节与PE文件格式相关的术语以<<微软PE/COFF规范>>为准([13]),不再强调该点。
winnt.h中定义了部分相关数据结构,后面如未单独注明来自哪个头文件,均隐指来
自winnt.h。执行vulnerable_0.exe,进入windbg调试状态。

> !list -t _LIST_ENTRY.Flink -x "dd" -a "+18 L1" 241ec0
00241ed8  00400000
00241f30  77f50000
00241fd8  77e60000
... ...

从上节可知,ntdll.dll基址是0x77f50000,kernel32.dll基址是0x77e60000。最开
始的64字节按如下数据结构解析:

--------------------------------------------------------------------------
#define IMAGE_DOS_SIGNATURE 0x5A4D      // MZ

typedef struct _IMAGE_DOS_HEADER        // DOS .EXE header
{
    WORD   e_magic;                     // +0x00 Magic number
    WORD   e_cblp;                      // +0x02 Bytes on last page of file
    WORD   e_cp;                        // +0x04 Pages in file
    WORD   e_crlc;                      // +0x06 Relocations
    WORD   e_cparhdr;                   // +0x08 Size of header in paragraphs
    WORD   e_minalloc;                  // +0x0a Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // +0x0c Maximum extra paragraphs needed
    WORD   e_ss;                        // +0x0e Initial (relative) SS value
    WORD   e_sp;                        // +0x10 Initial SP value
    WORD   e_csum;                      // +0x12 Checksum
    WORD   e_ip;                        // +0x14 Initial IP value
    WORD   e_cs;                        // +0x16 Initial (relative) CS value
    WORD   e_lfarlc;                    // +0x18 File address of relocation table
    WORD   e_ovno;                      // +0x1a Overlay number
    WORD   e_res[4];                    // +0x1c Reserved words
    WORD   e_oemid;                     // +0x24 OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // +0x26 OEM information; e_oemid specific
    WORD   e_res2[10];                  // +0x28 Reserved words
    LONG   e_lfanew;                    // +0x3c File address of new exe header
                                        // +0x40
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
--------------------------------------------------------------------------

> db 77e60000 L0n64
77e60000  4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00  MZ..............
77e60010  b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00  ........@.......
77e60020  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
77e60030  00 00 00 00 00 00 00 00-00 00 00 00 f8 00 00 00  ................
> dd 77e60000+3c L1 (显示e_lfanew成员)
77e6003c  000000f8

其中e_lfanew成员用于定位PE头。从注释中理解,e_lfanew是File pointer,非RVA,
不过在这里当成RVA处理也没关系。e_lfanew值为0x000000f8,PE头在基址加0xf8的
位置。PE头最开始是标识"PE\0\0",占4字节,然后是20字节固定头。

--------------------------------------------------------------------------
#define IMAGE_NT_SIGNATURE       0x00004550  // PE00
#define IMAGE_SIZEOF_FILE_HEADER 20

typedef struct _IMAGE_FILE_HEADER
{
    WORD    Machine;               // +0x00
    WORD    NumberOfSections;      // +0x02
    DWORD   TimeDateStamp;         // +0x04
    DWORD   PointerToSymbolTable;  // +0x08
    DWORD   NumberOfSymbols;       // +0x0c
    WORD    SizeOfOptionalHeader;  // +0x10
    WORD    Characteristics;       // +0x12
                                   // +0x14
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
--------------------------------------------------------------------------

> db 77e60000+f8 L0n24
77e600f8  50 45 00 00 4c 01 04 00-28 fa 6d 3d 00 00 00 00  PE..L...(.m=....
77e60108  00 00 00 00 e0 00 0e 21
                      ^^^^^
接下来是可选头,SizeOfOptionalHeader成员表明可选头占用了224字节(0x00e0)。

--------------------------------------------------------------------------
typedef struct _IMAGE_OPTIONAL_HEADER
{
    WORD    Magic;                        // +0x00
    BYTE    MajorLinkerVersion;           // +0x02
    BYTE    MinorLinkerVersion;           // +0x03
    DWORD   SizeOfCode;                   // +0x04
    DWORD   SizeOfInitializedData;        // +0x08
    DWORD   SizeOfUninitializedData;      // +0x0c
    DWORD   AddressOfEntryPoint;          // +0x10
    DWORD   BaseOfCode;                   // +0x14
    DWORD   BaseOfData;                   // +0x18
    DWORD   ImageBase;                    // +0x1c
    DWORD   SectionAlignment;             // +0x20
    DWORD   FileAlignment;                // +0x24
    WORD    MajorOperatingSystemVersion;  // +0x28
    WORD    MinorOperatingSystemVersion;  // +0x2a
    WORD    MajorImageVersion;            // +0x2c
    WORD    MinorImageVersion;            // +0x2e
    WORD    MajorSubsystemVersion;        // +0x30
    WORD    MinorSubsystemVersion;        // +0x32
    DWORD   Win32VersionValue;            // +0x34
    DWORD   SizeOfImage;                  // +0x38
    DWORD   SizeOfHeaders;                // +0x3c
    DWORD   CheckSum;                     // +0x40
    WORD    Subsystem;                    // +0x44
    WORD    DllCharacteristics;           // +0x46
    DWORD   SizeOfStackReserve;           // +0x48
    DWORD   SizeOfStackCommit;            // +0x4c
    DWORD   SizeOfHeapReserve;            // +0x50
    DWORD   SizeOfHeapCommit;             // +0x54
    DWORD   LoaderFlags;                  // +0x58
    DWORD   NumberOfRvaAndSizes;          // +0x5c Number of data-dictionary entries in the remainder of the Optional Header
                                          // +0x60
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
                                          // +0xe0
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY
{
    DWORD   VirtualAddress;  // +0x00 RVA
    DWORD   Size;            // +0x04 The size in bytes
                             // +0x08
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIREC
最低0.47元/天 解锁文章
usertony
关注
专栏目录
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 9975
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
获取system和LoadLibraryA函数的地址
传说中的蒙面大侠
01-20 3177
GetLoadSysAdd.cpp#include #include typedef void (*MYPROC)(LPTSTR);int main(){   HINSTANCE LibHandle;  MYPROC ProcAdd;    LibHandle = LoadLibrary("msvcrt");  printf("msvcrt LibHandle = //x%x/n", LibH
LoadLibrary和GetProcAddress获得API的地址
weixin_30364147的博客
10-26 202
#include <windows.h> #include <stdio.h> typedef void (*MYPROC)(LPTSTR); int main() { HINSTANCE LibHandle; MYPROC ProcAdd; LibHandle = LoadLibrary("us...
C++获取(32位)Kernel32 LoadLibrary地址,并写入txt文件
MusicMan
06-06 2489
代码: // GetKernel32Info.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" using namespace std; int _tmain(int argc, _TCHAR* argv[]) { ofstream txtfile; txtfile.open(".\\kernel32info.txt",std::ios::out...
手动加载DLL(PE文件)
El Psy Congroo
04-30 4910
以前学重载内核时学到了手动加载一个PE文件,想在Ring3层也实现一遍,不过在GitHub上看到有现成的源码了就不自己写了。本篇文章就分析一下这个mmLoader,看看怎么实现手动加载PE文件
PE文件加载流程
dohxxx的博客
03-20 4477
PE加载器流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
LoadLibraryExA函数说明
xinqingwuji的博客
03-08 1818
Qt源码解析 索引 LoadLibraryExA函数说明 语法 HMODULE LoadLibraryExA( [in] LPCSTR lpLibFileName, HANDLE hFile, [in] DWORD dwFlags ); 参数 [in] lpLibFileName 。参考LoadLibrary hFile 此参数保留为将来使用. It must be NULL. [in] dwFlags 加载模块时要执行的操作。如果未指定任何标志,则此函数的行...
通用ShellCode学习笔记——win7中获得LoadLibraryA地址
weixin_30548917的博客
09-19 413
一、ShellCode的编写 Kernel32地址获取 由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置 esi=fs:0->TEB esi=TEB:30h->PEB esi=PEB:0ch->_P...
PE文件病毒实验(二)——实验报告
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
typedef函数代码段解释以及部分Windows下的系统函数
最新发布
森明帮大于黑虎帮的博客
08-14 1073
typedef函数代码段解释以及部分Windows下的系统函数
dll动态加载,LoadLibraryLoadLibraryEx的区别
热门推荐
cuglifangzheng的专栏
02-23 3万+
如果一个dll存在其他dll依赖,且不再相同目录,则需要使用Ex接口 具体说来若DLL不在调用方的同一目录下,可以用LoadLibrary(L”DLL绝对路径”)加载。但若调用的DLL内部又调用另外一个DLL,此时调用仍会失败。解决办法是用LoadLibraryEx: LoadLibraryEx(“DLL绝对路径”, NULL, LOAD_WITH_ALTERED_SEARCH_PATH);
dll的两种调用方式
FrankieWang008的专栏
11-07 2万+
dll的两种调用方式,lib与dll区别 - [C/C++] 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://cjbskysea.blogbus.com/logs/48108094.html (1)lib是编译时需要的,dll是运行时需要的。 如果要完成源代码的编译,有lib就够了。 如果也使动态连接的程序运行起来,有dll就够了。
调用 LoadLibraryEx 失败
期待王教授
01-10 6876
之前发过一篇关于IIS发布和发布遇到问题的博客,最近又遇到一个小问题,总结一下:         【问题】         调用 LoadLibraryEx 失败          看问题很显然和路径有关系,PB9.0是之前做自考实践作业时安装的,不明白发布和这个安装路径有什么关系。         何为ISAPI筛选器?         ISAPI(Internet Serve
XP系统loadLibrary失败
ec06cumt的专栏
01-08 2109
现在的项目中开发的产品,在测试部门,一台机器上总是崩溃,而其他的机器都是好的。    最后打日志,log显示在loadLibray失败,排查了dll的依赖项,也没有问题。最后无奈,看到那台机器上用的是xp的sp1,版本很低。  所以想到会不是系统的原因。于是升级了把XP系统升级到SP3,发现果然是这个问题。loadLibray,通过成功!!!
C++写壳详解之初级篇
qq_31507523的博客
04-22 2563
C++写壳详解之初级篇 之前在15PB学习,写了一个基于Windows平台对PE文件加壳的项目,经过一个月的缓冲,在这决定复习总结及分享下的我的心得。 主要工具: 010Editor、VS2017、x64dbg、LordPE、OD 实现功能: 压缩文件、对代码段加密。 一、加壳原理 要想弄明白怎么对PE文件加壳,首先需要对PE文件比较熟悉,而最快的熟悉PE文件的方法就是自己写一个PE解析工具和写壳...
LoadLibraryA 和 GetProcAddress 调用动态库
07-25
LoadLibraryA是Windows API中的一个函数,用于加载指定的动态链接库(DLL)。它接受一个字符串参数,参数值为要加载的DLL文件的路径。如果加载成功,该函数返回一个句柄,可以通过它来访问该DLL的导出函数和数据。 GetProcAddress是Windows API中的另一个函数,用于获取指定DLL中的导出函数的地址。它接受两个参数,第一个参数是DLL的句柄,第二个参数是要获取地址的函数名。如果获取成功,该函数返回函数的地址,否则返回NULL。 在使用动态链接库时,通常会先使用LoadLibraryA函数加载DLL,然后使用GetProcAddress函数获取DLL中导出函数的地址。通过这两个函数的配合,可以在运行时动态地加载和调用DLL中的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值