闲来无事逆了点dbghelp里的东西

最新推荐文章于 2021-02-17 22:58:27 发布
最新推荐文章于 2021-02-17 22:58:27 发布
阅读量173 收藏
点赞数
原文链接:https://my.oschina.net/hzqst/blog/883618
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

1、ImageNtHeader,IsBadReadPtr是我自己加的

PIMAGE_NT_HEADERS32 WINAPI ImageNtHeader(PVOID Base)
{
	PIMAGE_DOS_HEADER pDosHdr = (PIMAGE_DOS_HEADER)Base;
	if (IsBadReadPtr(pDosHdr, sizeof(IMAGE_DOS_HEADER)))
		return NULL;
	if (IMAGE_DOS_SIGNATURE != pDosHdr->e_magic)
		return NULL;

	PIMAGE_NT_HEADERS32 pNTHdr32 = (PIMAGE_NT_HEADERS32)((PBYTE)pDosHdr + pDosHdr->e_lfanew);

	if (IsBadReadPtr(pNTHdr32, sizeof(IMAGE_NT_HEADERS32)))
		return FALSE;
	if (IMAGE_NT_SIGNATURE != pNTHdr32->Signature)
		return FALSE;

	return pNTHdr32;
}

2、ImageDirectoryEntryToDataEx,没Ex的懒得弄了直接把最后一个参数填0调用Ex

PVOID ImageDirectoryEntryToData32(ULONG_PTR BaseAddress, BOOLEAN MappedAsImage, USHORT DirectoryEntry, PULONG Size, PIMAGE_SECTION_HEADER *FoundHeader, PIMAGE_FILE_HEADER pFileHdr, PIMAGE_OPTIONAL_HEADER32 pOptHdr)
{
	if (DirectoryEntry < pOptHdr->NumberOfRvaAndSizes)
	{
		ULONG_PTR Rva = pOptHdr->DataDirectory[DirectoryEntry].VirtualAddress;
		if (Rva)
		{
			*Size = pOptHdr->DataDirectory[DirectoryEntry].Size;
			if (!MappedAsImage && Rva >= pOptHdr->SizeOfHeaders)
			{
				int NumSections = pFileHdr->NumberOfSections;
				PIMAGE_SECTION_HEADER pSecHdr = (PIMAGE_SECTION_HEADER)((PUCHAR)pOptHdr + pFileHdr->SizeOfOptionalHeader);
				for (int i = 0; i < NumSections; ++i)
				{
					if (Rva >= pSecHdr->VirtualAddress && Rva < pSecHdr->SizeOfRawData + pSecHdr->VirtualAddress)
					{
						if (FoundHeader)
							*FoundHeader = pSecHdr;
						return (PVOID)(BaseAddress + (Rva - pSecHdr->VirtualAddress) + pSecHdr->PointerToRawData);
					}
					++pSecHdr;
				}
				return NULL;
			}
			if (FoundHeader)
				*FoundHeader = NULL;
			return (PVOID)(BaseAddress + Rva);
		}
	}
	*Size = 0;
	return NULL;
}

PVOID ImageDirectoryEntryToData64(ULONG_PTR BaseAddress, BOOLEAN MappedAsImage, USHORT DirectoryEntry, PULONG Size, PIMAGE_SECTION_HEADER *FoundHeader, PIMAGE_FILE_HEADER pFileHdr, PIMAGE_OPTIONAL_HEADER64 pOptHdr)
{
	if (DirectoryEntry < pOptHdr->NumberOfRvaAndSizes)
	{
		ULONG_PTR Rva = pOptHdr->DataDirectory[DirectoryEntry].VirtualAddress;
		if (Rva)
		{
			*Size = pOptHdr->DataDirectory[DirectoryEntry].Size;
			if (!MappedAsImage && Rva >= pOptHdr->SizeOfHeaders)
			{
				int NumSections = pFileHdr->NumberOfSections;
				PIMAGE_SECTION_HEADER pSecHdr = (PIMAGE_SECTION_HEADER)((PUCHAR)pOptHdr + pFileHdr->SizeOfOptionalHeader);
				for (int i = 0; i < NumSections; ++i)
				{
					if (Rva >= pSecHdr->VirtualAddress && Rva < pSecHdr->SizeOfRawData + pSecHdr->VirtualAddress)
					{
						if (FoundHeader)
							*FoundHeader = pSecHdr;
						return (PVOID)(BaseAddress + (Rva - pSecHdr->VirtualAddress) + pSecHdr->PointerToRawData);
					}
					++pSecHdr;
				}
				return NULL;
			}
			if (FoundHeader)
				*FoundHeader = NULL;
			return (PVOID)(BaseAddress + Rva);
		}
	}
	*Size = 0;
	return NULL;
}

PVOID ImageDirectoryEntryToDataRom(ULONG_PTR BaseAddress, BOOLEAN MappedAsImage, USHORT DirectoryEntry, PULONG Size, PIMAGE_SECTION_HEADER *FoundHeader, PIMAGE_FILE_HEADER pFileHdr, PIMAGE_ROM_OPTIONAL_HEADER pOptHdr)
{
	int NumSections = pFileHdr->NumberOfSections;
	PIMAGE_SECTION_HEADER pSecHdr = (PIMAGE_SECTION_HEADER)((PUCHAR)pOptHdr + pFileHdr->SizeOfOptionalHeader);
	for (int i = 0; i < NumSections; ++i)
	{
		if (DirectoryEntry == 6 && !_stricmp((const char *)pSecHdr->Name, ".rdata"))
		{
			*Size = 0;
			for (ULONG_PTR j = (ULONG_PTR)((PUCHAR)BaseAddress + pSecHdr->PointerToRawData + 12); *(DWORD *)j; j += 28)
				*Size += 28;

			if (FoundHeader)
				*FoundHeader = pSecHdr;
			return (PVOID)(BaseAddress + pSecHdr->PointerToRawData);
		}
		if (DirectoryEntry == 3 && !_stricmp((const char *)pSecHdr->Name, ".pdata"))
		{
			if (FoundHeader)
				*FoundHeader = pSecHdr;
			return (PVOID)(BaseAddress + pSecHdr->PointerToRawData);
		}
		++pSecHdr;
	}
	*Size = 0;
	return NULL;
}

PVOID WINAPI ImageDirectoryEntryToDataEx(PVOID Base, BOOLEAN MappedAsImage, USHORT DirectoryEntry, PULONG Size, PIMAGE_SECTION_HEADER *FoundHeader)
{
	ULONG_PTR BaseAddress = (ULONG_PTR)Base;
	if (!BaseAddress)
	{
		SetLastError(ERROR_INVALID_HANDLE);
		return NULL;
	}
	if (BaseAddress & 1)
	{
		BaseAddress = BaseAddress & 0xFFFFFFFFFFFFFFFE;
		MappedAsImage = FALSE;
	}
	PIMAGE_NT_HEADERS32 pNtHdr32 = ImageNtHeader(Base);
	PIMAGE_FILE_HEADER pFileHdr;
	PIMAGE_OPTIONAL_HEADER32 pOptHdr;
	if (pNtHdr32)
	{
		pFileHdr = &pNtHdr32->FileHeader;
		pOptHdr = &pNtHdr32->OptionalHeader;
	}
	else
	{
		pFileHdr = (PIMAGE_FILE_HEADER)BaseAddress;
		pOptHdr = (PIMAGE_OPTIONAL_HEADER32)(BaseAddress + sizeof(IMAGE_FILE_HEADER));
	}
	if (pOptHdr->Magic == 267)
	{
		return ImageDirectoryEntryToData32(BaseAddress, MappedAsImage, DirectoryEntry, Size, FoundHeader, pFileHdr, pOptHdr);
	}
	if (pOptHdr->Magic == 523)
	{
		PIMAGE_OPTIONAL_HEADER64 pOptHdr64 = (PIMAGE_OPTIONAL_HEADER64)pOptHdr;
		return ImageDirectoryEntryToData64(BaseAddress, MappedAsImage, DirectoryEntry, Size, FoundHeader, pFileHdr, pOptHdr64);
	}
	if (pOptHdr->Magic == 263)
	{
		PIMAGE_ROM_OPTIONAL_HEADER pOptHdrRom = (PIMAGE_ROM_OPTIONAL_HEADER)pOptHdr;
		return ImageDirectoryEntryToDataRom(BaseAddress, MappedAsImage, DirectoryEntry, Size, FoundHeader, pFileHdr, pOptHdrRom);
	}
	*Size = 0;
	return NULL;
}

3、ImageRvaToVa

PIMAGE_SECTION_HEADER WINAPI ImageRvaToSection(PIMAGE_NT_HEADERS NtHeaders, PVOID Base, ULONG Rva)
{
	if (!NtHeaders)
	{
		SetLastError(ERROR_INVALID_PARAMETER);
		return 0i64;
	}
	
	PIMAGE_SECTION_HEADER pSecHdr = (PIMAGE_SECTION_HEADER)((PUCHAR)&NtHeaders->OptionalHeader + NtHeaders->FileHeader.SizeOfOptionalHeader);

	int NumSections = NtHeaders->FileHeader.NumberOfSections;
	for(int i = 0;i < NumSections; ++i)
	{
		if (Rva >= pSecHdr->VirtualAddress && Rva < pSecHdr->SizeOfRawData + pSecHdr->VirtualAddress)
		{
			(PIMAGE_SECTION_HEADER)pSecHdr;
		}
	}
	return NULL;
}

PVOID WINAPI ImageRvaToVa(PIMAGE_NT_HEADERS NtHeaders, PVOID Base, ULONG Rva, PIMAGE_SECTION_HEADER *LastRvaSection)
{
	PIMAGE_SECTION_HEADER pSecHdr;

	if (!LastRvaSection)
	{
		pSecHdr = ImageRvaToSection(NtHeaders, Base, Rva);
	}
	else
	{
		pSecHdr = *LastRvaSection;
		if (!pSecHdr || !(Rva >= pSecHdr->VirtualAddress && Rva < pSecHdr->VirtualAddress + pSecHdr->SizeOfRawData))
			pSecHdr = ImageRvaToSection(NtHeaders, Base, Rva);
	}

	if (pSecHdr)
	{
		if (LastRvaSection)
			*LastRvaSection = pSecHdr;
		return (PUCHAR)Base + Rva - pSecHdr->VirtualAddress + pSecHdr->PointerToRawData;
	}

	return NULL;
}

 

转载于:https://my.oschina.net/hzqst/blog/883618

weixin_34256074
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dbghelp.dll
08-13
版本号以5.0开头的或含有 nt 一般是windows2000的文件。 版本号以5.1开头的或含有 xp、xpsp1、xpsp2、xpsp3 信息的一般是windowsXP的文件。 版本号以6.0开头的或含有 longhorn、vista 信息的一般是windowsVista的文件。 版本号以6.1开头的或含有 win7 信息的一般是windows7的文件。 如果不是windows的dll文件,则需要灵活查看版本号、
vc++ 6.0使用dbghelp.dll生成dmp内存转储文件
06-09
vc++ 6.0使用dbghelp.dll生成dmp内存转储文件,包含h、lib和dbghelp.dll文件,仅供参考。
DbgHelp.7z使用示例
03-29
DbgHelp.7z使用示例
dbghelp.h、Windows API
06-19
包含了一系列的Windows API来供开发者调用,它是一个调试跟踪相关的模块,用于跟踪进程工作,在进程崩溃时收集程序产生异常时的堆栈信息,以供开发人员分析,从而很快找出使程序出现异常的原因。
dbghelp lib库和dll库
03-30
dbghelp lib库和dll库。解决Qt编译报错"error: undefined reference to `MiniDumpWriteDump'"
重载内核(x86)
125096
11-17 2234
#include #include #include #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 256 #endif typedef unsigned char *PBYTE; typedef unsigned char BYTE; typedef unsigned int UIN
关于文件读写的监控, 通过APIHOOK来实现
胡杨林
12-18 6881
有的时候,我们需要对程序读写文件的时候进行监控,尤其是文件的数据是保密的,而且不能直接存储在磁盘上。举个最简单的例子来说,当我们有个文件在磁盘上,而这个文件是加密的,这时候在程序打开文件的时候,通过输入密钥进行解密了,但是这些解密了的数据,是不能写回磁盘的,只能放在RAM中,这时候如果程序想通过正常的文件操作来访问数据的话,那么这就需要我们来对这个文件操作的API下钩子函数了。
DbgHelp函数(一)
一个程序员的自我修炼
08-28 6344
DbgHelp函数 通用帮助函数 EnumDirTree 功能 枚举所有在指定文件夹中的指定文件. 原型 BOOL WINAPI EnumDirTree(   _In_opt_   HANDLE hProcess,   _In_       PCTSTR RootPath,   _In_       PCTSTR InputPathName,   _Out_opt_  PTST
11 拦截API
LIJIWEI0611的博客
02-17 341
原理 代码 导出地址表 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成.其中导入地址表就指示函数实际地址。 testdll工程 target.h #pragma once extern "C" { __declspec(dlle.
dbghelp.h
03-21
使用dbghelp.dll生成dmp内存转储文件
查找内核模块的导出函数
weixin_34248849的博客
09-18 247
为什么80%的码农都做不了架构师?>>> ...
《Windows核心编程》之“API Hooking”(二)
Sagittarius_Warrior的博客
08-17 1095
前一篇主要讲“API Hooking”的原理——修改IAT,这一篇主要讲代码实现和调试。 一、修改IAT     我们要修改IAT,首先要了解导入段的数据结构和操作API。 1,IMAGE_IMPORT_DESCRIPTOR     在winnt.h文件中,定义了这么一个数据结构来描述导入段中的信息单元 typedef struct _IMAGE_IMPORT_DESCRIPTOR {
API挂接的一个例子
jyytest的专栏
04-26 461
测试DLL的函数APIHookDll.dll void __stdcall PrintfHelloWorld(){ printf("Hello World");} APIHook.exe代码#include //#include #include #include #include "APIHookDll.h"#pragma comment(lib, "ImageHlp")
VC6下使用dbghelp及注意事项
nbabn的专栏
11-20 3328
VC6环境下如果没有安装WDK或WINDBGTOOLS
VS自带的dbghelp.h文件 报错
weixin_33946605的博客
08-21 1142
场景:    编译报错:      解决方法:   在#include &lt;dbghelp.h&gt; 之前 #include &lt;Windows.h&gt;     
使用dbghelp获取调用堆栈--release下的调试方法学
xjh_Love_paopao的专栏
07-14 1117
使用dbghelp获取调用堆栈--release下的调试方法学 Author : Kevin Lynx当软件作为release模式被发布给用户时,当程序崩溃时我们很难去查找原因。常见的手法是输出LOG文件,根据LOG文件分析程序崩溃时的运行情况。我们可以通过SEH来捕获程序错误,然后输出一些有用的信息作为我们分析错误的资料。一般我们需要输出的信息包括:系统信息、CPU寄存器信息、堆栈信
dbghelp.lib
最新发布
06-20
dbghelp.lib是Windows操作系统中的一个库文件,主要用于调试程序时获取信息和生成dump文件。它提供了一组API函数,可以帮助开发人员获取程序崩溃或异常时的调试信息,包括堆栈信息、模块信息、符号信息等。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值