解析导入表及自实现GetProcAddress

已于 2023-10-30 23:00:08 修改
阅读量156 收藏
点赞数
文章标签: c++ 数据结构
于 2023-07-19 16:27:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50217210/article/details/131810679
版权

注:这里的自实现GetProcAddress是不完美的,有一些函数例如 HeapAlloc是获取不到的,具体原因以及解决方法,请给博主一些时间,后续会进行更新
在解析之前我们需要明白PE结构:DOS头、NT头、节等

了解RVA(relative Virtual Address) 相对虚拟地址偏移、(VA (virtual Address) 虚拟地址、FA(RAW)(File Address)文件地址之间的转换

1.首先在Visual stdio中创建一个控制台文件,头文件windows.h

2.我们需要知道PE中存储的地址都是RVA所以需要转换为VA

我们定义一个函数RVATOVA

DWORD RVATOVA(DWORD RVA, DWORD hModule)
{
    return RVA + hModule;
}

首先要自实现GetProcAddress  我们需要了解它的结构 ,右键F12进入GetProcAddress()观察它的结构

int main()
{
    HMODULE Hmodule = GetModuleHandleA("ntdll.dll");
    void *p=GetProcAddress(Hmodule,"RtlValidateHeap");
    void* p1 = MyGetProcAddress(Hmodule, "RtlValidateHeap");
    printf("%x", p);
    std::cout << "Hello World!\n";
}

我们把这部分复制出来

FARPROC
WINAPI
MyGetProcAddress(
    _In_ HMODULE hModule,
    _In_ LPCSTR lpProcName
)

 函数中两个参数,一个句柄,一个名称

我们再来看一下导出表的结构

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

我们需要重点注意的是DWORD Name、Base(序号) 以及最后三项分别是函数地址、函数名称,函数序号的RVA。 

我们先定位到导出表

PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)hModule;
PIMAGE_NT_HEADERS pIMAGE_NT_HEADERS = (PIMAGE_NT_HEADERS)(pIMAGE_DOS_HEADER->e_lfanew + (DWORD)hModule);
PIMAGE_EXPORT_DIRECTORY pIMAGE_EXPORT_DIRECTORY_RVA = (PIMAGE_EXPORT_DIRECTORY)(pIMAGE_NT_HEADERS->OptionalHeader.DataDirectory[0].VirtualAddress);
PIMAGE_EXPORT_DIRECTORY pIMAGE_EXPORT_DIRECTORY = (PIMAGE_EXPORT_DIRECTORY)RVATOVA((DWORD)pIMAGE_EXPORT_DIRECTORY_RVA, (DWORD)hModule);//导出表项

   此时我们定位到了导出表, 我们此刻就可以获取到导出模块儿的名称

DWORD MODULE_NAME = RVATOVA(pIMAGE_EXPORT_DIRECTORY->Name, (DWORD)hModule);

 //导出函数名称表
DWORD NameAddressRVA = pIMAGE_EXPORT_DIRECTORY->AddressOfNames;
DWORD* NameAddress = (DWORD*)RVATOVA(NameAddressRVA, (DWORD)hModule);

//名称序号表
WORD* NameOrdinalsAddress = (WORD*)RVATOVA(pIMAGE_EXPORT_DIRECTORY->AddressOfNameOrdinals, (DWORD)hModule);

//函数地址表
DWORD* FunctionsAddress = (DWORD*)RVATOVA(pIMAGE_EXPORT_DIRECTORY->AddressOfFunctions, (DWORD)hModule);

用一个FOR循环,i<导出模块中的函数名称个数----  用strcmp去判断我们得到的函数名称还传入的函数名称是否一致,一致则打印出来它的序号,以及地址

 for (size_t i = 0; i < pIMAGE_EXPORT_DIRECTORY->NumberOfNames; i++)
        {
            char* FunName = (char*)RVATOVA(NameAddress[i], (DWORD)hModule);
            if (strcmp(FunName, (char*)lpProcName) == 0)
            {
                printf("%d\n", NameOrdinalsAddress[i] + pIMAGE_EXPORT_DIRECTORY->Base);
                printf("%x\n", RVATOVA(FunctionsAddress[NameOrdinalsAddress[i]], (DWORD)hModule));
            }
        }

运行,我们即可知道ntdll.dll中的RtlValidateHeap序号为1600  自实现函数打印出来的地址与库函数打印出的地址也一致。

接下来把文件拖入x32dbg中观察是否打印正确

 此时我们就实现了通过函数名称获取句柄的操作(通过函数名称比对去获取序号表中获取函数的序号)

那么还可以通过函数序号来获取,我们提前判断一下传入的是名称还是序号---微软中使用的判断方法是看名称字符是否使用了两个字节以上的空间(0xffff),如果是则传入的是字符,否则传入的是序号。

if ((DWORD)lpProcName >= 0xffff)
 printf("%x\n", RVATOVA(FunctionsAddress[NameOrdinalsAddress[(WORD)lpProcName-pIMAGE_EXPORT_DIRECTORY->Base]], (DWORD)hModule));

若传入的是序号,那我们直接打印。

云棋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自定义实现GetProcAddress函数
Reverser的专栏
05-28 1376
自定义实现GetProcAddress函数
go语言内存加载dll,调用时无需释放
09-22
go语言发布带dll的项目时,还要带上Dll文件,很烦 本项目用利embed把dll打包进exe文件中,调用时无需释放到临时目录 所以利用github.com/nkbai/go-memorydll上的c项目自己移植过来了,之前需是.c文件,编译时需要...
实现getprocaddress(名称查找或者序号查找)
bring_coco的博客
08-29 632
那么这里来总结下,总共四步骤1.导出表2.导出函数名称表3.导出函数名称序号表4.导出函数地址表/*WINBASEAPI //导出不需要使用,那么我们注释掉*/FARPROCWINAPI//NT头//导出表项,获得RVA RVA并不是真正的导出表项需要转VA,转VA需要加上image_base(也就是加载地址)//导出表//这个才是真正的VA,真正的导出表项,因为RVA在内存中是没有的*///导出函数名称表//导出函数名称序号表//导出函数地址表。
Smart GetProcAddress实现
穷途末路
05-06 588
Windows下有过编程经验的朋友肯定用过这个函数:GetProcAddress,作用呢,就是从加载的动态库中获取指定函数名的函数入口地址,函数使用方法简单,一般是如下流程: DLL导出函数的头文件:dll.h void WINAPI func1(int); void WINAPI func2(int,int); 动态加载DLL调用上面两个函数
GetProcAddress 实现
x
07-29 328
没用的C代码 根据导出表查找函数名 #define _CRT_SECURE_NO_WARNINGS #include <Windows.h> #include <iostream> using std::cout; using std::endl; void * getExportApi(DWORD base_addr ,const char * api_name) { if (0 == base_addr || 0 == api_name) return 0;
完美实现GetProcAddress
weixin_34395205的博客
12-17 731
2019独角兽企业重金招聘Python工程师标准>>> ...
自己实现GetProcAddress
liuhaidon1992的博客
06-12 716
DWORD MyGetProcAddress( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // function name ) { int i=0; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_E..
自己实现GetProcAddress 实战中方便抹掉导入表 自己重建IAT让别人看不到符号
ADADQDQQ的博客
07-15 324
根据导出表实现:GetProcAddress 注意:如果最后出现得函数地址>模块基址+导入表.VirtualAddress得话 则该地址是个字符串 字符串里面有dll和函数名 因为他是个转发地址 需要再调用GetProcAddress去进行获取 GetProcAddress(模块,序号-Base) 1.DWORD dwAddress=(DWORD)AddressOfFunctions[序号]+模块基址; GetProcAddress(模块,名称) 1.遍历(!strcmp(AddressOfName[
huishouzhan.rar_GetProcAddress_HUISHOUZHA
09-24
然后通过@SHEmptyRecycleBin:=GetProcAddress (LibHandle, SHEmptyRecycleBinA )语句读取SHEmptyRecycleBinA函数的地址,如果以上语句能够正确执行(也就是@SHEmptyRecycleBin不等于nil),那么就调用...
GetProcAddress模拟函数
04-19
GetProcAddress模拟系统GetProcAddress可以躲避为杀毒软件进行GetProcAddress钩子。
window_Cwnd.rar_GetProcAddress_cad_getwindowlong_user32.dll_创建窗口
09-21
实现窗口透明 只需在创建窗口函数中加入 SetWindowLong(this->GetSafeHwnd(),GWL_EXSTYLE, GetWindowLong(this->GetSafeHwnd(),GWL_EXSTYLE)^0x80000) HINSTANCE hInst = LoadLibrary("User32.DLL") if...
Inline Hook(ring3)的简单C++实现方法
09-04
Inline Hook是一种技术,用于在运行时修改程序的行为,通常是通过替换函数调用来实现。在Ring3级别,这意味着Inline Hook在用户模式下进行,这在Windows系统中是常见的实践。本文将详细探讨如何使用C++实现一个...
1.15 自实现GetProcAddress
热门推荐
CSDN
09-04 1万+
在正常情况下,要想使用`GetProcAddress`函数,需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址,接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址,但在有时这个函数会被保护起来,导致我们无法直接调用该函数获取到特定函数的内存地址,此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数,该功能的实现需要依赖于`PEB`线程环境块,通过线程环境块可遍历出`k
导入解析,IAT表解析【滴水逆向三期53笔记】
WdIg-2023的博客
04-01 834
我们再上一章节简要介绍了IAT表,我们知道如果程序调用dll中的函数时,必须通过IAT表来找到函数,我们基本了解了IAT表之后,我们今天来讲解一下导入表,通过本章节的学习,我们可以了解导入表,也能对IAT表有一个更深入的了解。
PE知识之实现GetProcAddress
LuciferM_S的博客
04-29 251
自行实现GetProcAddress
GetProcAddress
is的专栏
06-13 684
GetProcAddress编辑本段vc函数功能描述  GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。   函数原型:   FARPROC GetProcAddress(   HMODULE hModule, // DLL模块句柄   LPCSTR lpProcName // 函数名   );编辑本段参数  hModule   [
C语言经典指针运算笔试题图文解析
最新发布
喜羊羊的博客
06-12 663
指针运算常常现在面试题中,画图解决是最好的办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值