Windows核心编程笔记第五篇(代码精读PVOID GetModulePreferredBaseAddr(DWORD dwProcessId, PVOID pvModuleRemote))...

最新推荐文章于 2023-01-12 23:55:17 发布
最新推荐文章于 2023-01-12 23:55:17 发布
阅读量140 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/wParma/archive/2009/10/29/1592434.html
版权

 

ContractedBlock.gif ExpandedBlockStart.gif Code
 1ExpandedBlockStart.gifContractedBlock.gifPVOID GetModulePreferredBaseAddr(DWORD dwProcessId, PVOID pvModuleRemote) {
 2
 3   PVOID pvModulePreferredBaseAddr = NULL;
 4   IMAGE_DOS_HEADER idh;
 5   IMAGE_NT_HEADERS inth;
 6
 7   // Read the remote module's DOS header
 8   Toolhelp32ReadProcessMemory(dwProcessId,
 9      pvModuleRemote, &idh, sizeof(idh), NULL);
10
11
12   // Verify the DOS image header
13   //e_magic为DOS可执行文件标记
14   //#define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ   DOS文件
15   //#define IMAGE_OS2_SIGNATURE                 0x454E      // NE
16   //#define IMAGE_OS2_SIGNATURE_LE              0x454C      // LE
17   //#define IMAGE_VXD_SIGNATURE                 0x454C      // LE
18   //#define IMAGE_NT_SIGNATURE                  0x00004550  // PE00 Windows文件
19ExpandedSubBlockStart.gifContractedSubBlock.gif   if (idh.e_magic == IMAGE_DOS_SIGNATURE) {
20      // Read the remote module's NT header
21          // e_lfanew 是当前DOS头(pvModuleRemote)相对实际PE头标的相对偏移量,
22      Toolhelp32ReadProcessMemory(dwProcessId,
23         (PBYTE) pvModuleRemote + idh.e_lfanew, &inth, sizeof(inth), NULL);
24
25      // Verify the NT image header
26ExpandedSubBlockStart.gifContractedSubBlock.gif      if (inth.Signature == IMAGE_NT_SIGNATURE) {
27         // This is valid NT header, get the image's preferred base address
28         pvModulePreferredBaseAddr = (PVOID) inth.OptionalHeader.ImageBase;
29      }
30   }
31   return(pvModulePreferredBaseAddr);
32}

Toolhelp32ReadProcessMemory

 

The Toolhelp32ReadProcessMemory function copies memory allocated to another process into an application-supplied buffer.

//函数 Toolhelp32ReadProcessMemory 读取另外一个进程的内存带应用程序指定的缓冲区
BOOL WINAPI Toolhelp32ReadProcessMemory(  DWORD th32ProcessID,  LPCVOID lpBaseAddress,  LPVOID lpBuffer,  SIZE_T cbRead,  SIZE_T lpNumberOfBytesRead);
Parameters
th32ProcessID
[in] Identifier of the process whose memory is being copied. This parameter can be zero to copy the memory of the current process.
//将要读取的进程的表示,这个参数可为0,为0读取当前进程
lpBaseAddress
[in] Base address in the specified process to read. Before transferring any data, the system verifies that all data in the base address and memory of the specified size is accessible for read access. If this is the case, the function proceeds. Otherwise, the function fails.
//将要在制定的进程的哪个基地址读取.在传输任何数据前,系统将会验证在所有在基地址中的数据和指定的内存大小是否可读,如果可读方法运行,否则方法失败
lpBuffer
[out] Pointer to a buffer that receives the contents of the address space of the specified process.
//用于存储指定进程的地址空间内容的缓存区
cbRead
[in] Number of bytes to read from the specified process.
//要读取的bytes数
lpNumberOfBytesRead
[out] Number of bytes copied to the specified buffer. If this parameter is NULL, it is ignored.
//指定缓存区的大小,如果为Null则不限制大小

IMAGE_NT_HEADERS

 

The IMAGE_NT_HEADERS structure represents the PE header format.


typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER OptionalHeader;} IMAGE_NT_HEADERS,
*PIMAGE_NT_HEADERS;
Members
Signature
A 4-byte signature identifying the file as a PE image. The bytes are "PE\0\0".
FileHeader
An IMAGE_FILE_HEADER structure that specifies the file header.
OptionalHeader
An IMAGE_OPTIONAL_HEADER structure that specifies the optional file header.

 

转载于:https://www.cnblogs.com/wParma/archive/2009/10/29/1592434.html

weixin_30650859
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Delphi 通过Access Violation地址错误找到错误的哪行代码
weixin_30569001的博客
10-01 2364
什么是 MAP 文件?简单地讲, MAP 文件是程序的全局符号、源文件和代码行号信息的唯一的文本表示方法,它可以在任何地方、任何时候使用,不需要有额外的程序进行支持。而且,这是唯一能找出程序崩溃的地方的救星。 DELPHI下生成MAP文件的方法:生成详细的MAP信息的方法(二选一)1. project -> options -> Linker -> Map file ...
易语言模块基址获取
07-21
易语言模块基址获取源码,模块基址获取,GetModuleBaseAddress
奇怪的PVOID参数--SystemParametersInfo的使用
jiaodou2的博客
09-19 535
PVOID SystemParametersInfo
Delphi Hook API 已疯狂
jsl8998620的专栏
03-15 526
作者: yangyxd   转载请注明出处 http://hi.baidu.com/yangyxd   2009-3-12     论坛里有关于HOOK API的贴子, 但其实现在方式显示得麻烦, 其实现在拦截API一般不用那种方式, 大都采用inline Hook API方式。其实也就是直接修改了要拦截的API源码的头部,让它无条件跳转到我们自己的处理过程。   不多说别的了,开始我们自己的Ho
mjjc.zip_Windows编程_Visual_C++_
08-12
Windows编程领域,Visual C++是一个强大的开发工具,它提供了丰富的功能来构建高效的应用程序。在本主题中,我们将深入探讨如何使用Visual C++通过枚举进程的技术来利用未导出的API,即NATIVE API。 Windows操作...
VC++6.0核心编程源码.rar
08-03
第一部分 程序员必读 第一章 对程序错误的处理 在我们开始介绍Microsoft Windows应该提供的许多特性之前,我们首先必须了解Windows的各个函数是如何进行错误处理的。 当你调用一个Windows函数时,它首先要检验你...
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
ntdll.dll是这些Native API的核心组件,它为Windows系统提供了一个与硬件无关的接口,允许应用程序和系统服务直接交互。本篇文章将详细讲解如何在VC++环境中调用ntdll.dll中的Native API。 首先,我们需要理解VC++...
Windows系统中如何获取系统的启动时间.NTDLL.DLL中有很多鲜为人知的API函数,这些函数非常有用
03-20
Windows操作系统中,获取系统启动时间是一个常见的需求,这有助于进行系统性能分析或者故障排查。NTDLL.DLL库是Windows内核与用户模式之间的重要桥梁,它提供了许多底层且不常被开发者直接使用的API函数。这些函数...
VFWpas(delphi摄像头编程vfw).doc
02-13
在Delphi中,使用Video for Windows (VFW) 框架进行摄像头编程是一个常见的方法。VFW 是一套API,允许开发者访问视频捕获设备,如摄像头,进行视频和音频处理。以下是一些关于VFW在Delphi编程中的关键知识点: 1. *...
充分发挥bpl包的作用
diligentcat的专栏
06-09 2155
充分发挥包的作用 本章要点: n        为何要用包 n        为何不用包 n        包的类型 n        包文件 n 使用运行期包 n        把包安装到Delphi IDE中 n        创建包 n        包的版本化 n        包编译器指示符 n        包的命名约定 n        使用运行期
DELPHI基础开发技巧
It just for fun
04-02 1235
◇[DELPHI]网络邻居复制文件uses shellapi;copyfile(pchar(newfile.txt),pchar(//computername/direction/targer.txt),false);◇[DELPHI]产生鼠标拖动效果通过MouseMove事件、DragOver事件、EndDrag事件实现,例如在PANEL上的LABEL:var x
delphi完美的线程注入和卸载
最新发布
q304929130的专栏
01-12 590
/***************************************卸载dll**************************************//***********************************线程DLL***********************************//**********************************调整进程权限*******************************
PE Header and Export Table for Delphi
weixin_34387468的博客
09-06 3062
Malware Analysis Tutorial 8: PE Header and Export Table 2. Background Information of PE HeaderAny binary executable file (no matter on Unix or Windows) has to include a header to describe its structu...
Windows编程-判断模块是否装入了最佳位置
NINE_world的博客
10-05 117
//判断每个模块是否都装入了合适的位置 //第一个参数是进程的ID,第二个参数是某个模块的起始地址,是现在的模块被装入的起始地址 //最佳地址和现在装入的地址如果对不上,那就说明没有 PVOID GetModulePreferredBaseAddr(DWORD dwProcessId, PVOID pvModuleRemote) { PVOID pvModulePreferredBaseAddr = NULL; /* * 在Windows系统里,所有可执行程序有遵守一个标准,PE标
windows核心编程第四章
u012786754的专栏
12-07 859
#include "..\CmnHdr.h" /* See Appendix A. */ #include #include #include #include #include #include "Toolhelp.h" #include "Resource.h" ///////////////////////////////////////////////////////
windows核心编程-DLL是否被装入在合适的地址空间
qq_22423659的博客
11-28 277
windows里面所有的exe程序,dll程序,lib程序,sys....都遵循PE结构 即数据和指令按照一定顺序存放在文件中,这种格式叫做PE格式 1、DLL文件装入进程地址空间后,是否是装入到dll文件规定的最合适的地址 #include #include #include #define ID 2520 typedef BOOL(WINAPI *LPFN_ISWOW64PR
Windows核心编程第五版中文版错误处理解析
"《Windows 核心编程(第五版中文版)》pdf 是一本深入探讨Windows操作系统编程的书籍,主要面向计算机IT领域的开发者。书中详细介绍了Windows编程的基础和高级概念,包括错误处理机制、函数调用及返回值类型等关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值