win10 x64DLL模块线程函数地址定位

最新推荐文章于 2023-06-12 12:05:39 发布
最新推荐文章于 2023-06-12 12:05:39 发布
阅读量355 收藏
点赞数 2
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128110076
版权

x64DLL模块线程函数地址定位

环境

1:win10最新版
2:x64Dbg

DLL代码—3环

#define _CRT_SECURE_NO_WARNINGS
#include "pch.h"
#include <iostream>
#include "windows.h"


DWORD WINAPI ThreadProc(LPVOID A)
{

    char zifu[] = "jinrule";
    for (;;)
    {
        Sleep(6000);
        std::cout<< zifu<<std::endl;
    }
  
    return TRUE;
}

BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
      HANDLE hThread = ::CreateThread(NULL , NULL, ThreadProc, NULL, 0,0);

        break;
    }
    return TRUE;
}

定位过程

这个是我们需要定位的线程函数地址:DWORD WINAPI ThreadProc(LPVOID A)
1:用x64Dbg打开dll并执行到dll模块的入口地址,如图:
在这里插入图片描述
2:在x64Dbg在CreateThread函数下断点,如图:
在这里插入图片描述
3:找到第三个CreateThread参数,就是创建线程的函数入口点,如图:
在这里插入图片描述
根据x64的函数调用约定:RCX—RDX—R8—R9; R8为第三个参数;
那么线程函数地址就是:0000000180001630

总结

就是对windowsAPI进行下断点,在根据API的传递参数来确定线程要执行的函数地址。
不懂可以私信我或在评论区留言,(手留余香)对您有用请随手点赞。

weixin_41725706
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dll函数偏移地址获取方式方法
d3d学习中。。。
08-28 2788
最近在做d3d 方面的时候  查询某游戏的dll 偏移的时候 想记录下  在vs 里面反汇编代码如下 绘制图像 之前很多都是hook DrawIndexedPrimitive函数进行透视 z缓冲处理 554: g_pd3dDevice->DrawIndexedPrimitive(D3DPT_TRIANGLELIST, 0, 0, 24, 0, 12);//利用索引缓存配合顶点缓
查找(Dll)基地址和指定函数地址的一种方法
08-12
根据输出表RVA和基址取输出表的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地址
获取当前进程/线程的ID、句柄和内核地址
weixin_34149796的博客
09-21 435
获取当前进程 / 线程的 ID 、句柄和内核地址 在用户态( RING3 )和内核态( RING0 )下,获取这些值的函数是不同的,而且这些函数的实现原理也是不同的,下面做个小结: 1. 用户态( RING3 )下 2. 内核态( RING0 )下 做个总结,仅此而已。 转载于:http...
x64驱动 遍历驱动模块
LYSM
07-02 2157
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
dbg 寻找main函数
eli的博客
10-25 1510
方法一,3个push和堆栈平衡 push edi push esi push dword ptr ds:[eax] call project1.D31040 add esp,C 如上,因为main函数的参数是3个,所以,在调用main函数之前一定会有3个参数入栈。 调用main函数后,要平栈,就需要add esp,C 这也是一个main函数的标志。 1,3个入栈 2,调用call--------main函数 3,栈顶指针+C 方法二,xxx ...
sqlite-dll-win64-x64-3340100.zip
02-19
"sqlite-dll-win64-x64-3340100.zip"这个压缩包包含的是适用于64位Windows操作系统的SQLite动态链接库(DLL)文件。版本号3340100表明这是SQLite的一个特定更新版本,可能包含了性能优化、新功能或错误修复。 ...
sqlite-dll-win64-x64-3190200.zip
06-16
这个压缩包"sqlite-dll-win64-x64-3190200.zip"是针对Windows 64位平台的SQLite动态链接库(DLL)版本,版本号为3190200。DLL(Dynamic Link Library)是Windows操作系统中的一种共享库,用于封装和提供函数给其他...
PHP7.x memcache dll ts nts x86x64
12-23
标题 "PHP7.x memcache dll ts nts x86x64" 指的是一个与PHP7.x版本相关的memcache扩展库,这个库适用于不同的操作系统位数(x86和x64)以及线程安全(TS)和非线程安全(NTS)的配置。描述中提到,这是个人自用的...
C++ 导出dll接口函数 C++ 导出dll接口函数 C++ 导出dll接口函数
10-17
另外,需要使用`LoadLibrary`函数加载DLL,并使用`GetProcAddress`获取函数地址。 5. **卸载DLL**:当不再需要DLL时,应使用`FreeLibrary`函数释放资源。但通常,如果客户端程序结束,系统会自动卸载加载的DLL。 6...
Win32-dll.rar_DLL库_win32 dll
09-14
3. **获取函数地址**:使用`GetProcAddress`函数获取DLL中特定函数的入口地址。 4. **调用函数**:使用得到的函数地址直接调用DLL中的函数。 5. **卸载**:当不再需要DLL时,通过`FreeLibrary`函数卸载它。 **...
x64位DLL接口导出函数查看器
07-01
x64位DLL接口导出函数查看器,用于查看64位的DLL导出函数
使用x64dbg分析微信聊天函数并实现发信息
weixin_34061042的博客
03-23 705
1.引言 我们知道微信现在不光在手机上很常用,在电脑也是非常常用的,尤其是使用微信联系客户和维护群的人,那这个时候每天都会定期发送一些信息,如果人工操作会很累,所以自动化工具是王道,本节就使用x64dbg让你看看怎么完成发消息。本节完整源码在github:https://github.com/15pb/wechat_tools 2. 网络协议分析模型 首先我们讲一些理论知识,在开发中,网络通信的协...
X64dbg-插件开发-导出函数-导出功能-回调导出的函数和结构
插件开发
05-11 604
1.pluginit 导出函数   pluginit是 x64dbg 在加载动态链接库(.dp32或.dp64)后调用的第一个导出函数,如果pluginit不存在,则此时插件加载将失败。pluginit将指向PLUG_INITSTRUCT结构的指针作为函数中的唯一参数传递:initStruct。此结构用于向 x64dbg 注册插件并获取有效的插件句柄,以便在未来的 api 调用中使用。 PLUG_INITSTRUCT结构定义: typedef struct { //provided by the d
x64进程如何获得wow64进程的PEB
lif12345的专栏
07-23 6255
介绍了如何获得wow64进程的PEB
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6950
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dllDllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
加密与解密 调试篇 动态调试技术 (四)-x64dbg/MDebug
最新发布
m0_64180167的博客
06-12 3390
x64dbg是开源的调试器 支持 32位和64位。
如何查看Dll中包含了哪些函数
zxf347085420的博客
04-23 5779
如何查看Dll中包含了哪些函数
#define的基本用法
wu_lai_314的专栏
12-31 877
#define是C语言中提供的宏定义命令,其主要目的是为程序员在编程时提供一定的方便,并能在一定程度上提高程序的运行效率,但学生在学习时往往不能 理解该命令的本质,总是在此处产生一些困惑,在编程时误用该命令,使得程序的运行与预期的目的不一致,或者在读别人写的程序时,把运行结果理解错误,这对 C语言的学习很不利。 1 #define命令剖析 1.1   #define的概念
Ollydbg之字符串、WindowsAPI搜索
ChuMeng1999的博客
10-15 2303
目录预备知识1.字符编码(1)ASCII码(2)Unicode编码(3)Unicode编码的问题(4)UTF-8(5)Little endian(小端存储)和Big endian(大端存储)2.Windows API(1)基础服务(Base Services)(2)图形设备接口(GDI)(3)图形化用户界面(GUI)(4)通用对话框链接库(Common Dialog Box Library)(5)通用控件链接库(Common Control Library)(6)Windows外壳(Windows Shel
Win32多线程深度探索:理论与实践指南
17. `DllMain` 和 `ExitThread`:DLL导出函数线程退出函数,与模块的初始化和清理相关。 18. `GetOverlappedResult` 和 `GetStdHandle`:处理异步I/O结果和获取标准处理句柄。 19. `WaitForS`:这可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值