解析 kernel32.dll 的导出目录并查找特定 API 函数的内存地址

于 2023-12-16 22:57:30 发布
阅读量558 收藏 9
点赞数 6
文章标签: c++ c语言 网络安全 windows 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50217210/article/details/135039399
版权

注意:有些函数在kernel32.dll的导出目录中存储的并不是函数的真实地址,可能会通过导出表的得到的地址去调用另一个模块中的内核中的函数,例如heapalloc函数。具体以后会将,总之就是目前的自定义函数是有局限性的

首先必须明白PE结构

基本上做一个思路以及简化的实例代码:

主要包括以下步骤:

  1. 获取 kernel32.dll 模块的句柄:

你需要获取 kernel32.dll 模块在当前进程中的句柄,可以使用 GetModuleHandle 函数来获取。

  1. 获取导出表 RVA:

从获取的模块句柄中,你需要找到导出表的 RVA(Relative Virtual Address,相对虚拟地址)。导出表是一个数据结构,包含了模块中所有导出的函数名称和地址。

  1. 解析导出表:

在导出表的 RVA 处,你需要解析导出表结构,找到需要的 API 函数的名称在导出表中的位置。

  1. 获取 API 函数的内存地址:

通过获取 API 函数的名称在导出表中的位置,你可以计算出函数的内存地址。通常,导出表中存储的是相对虚拟地址(RVA),你需要将其转换为实际的内存地址。

代码如下:

#include<windows.h>
#include <stdio.h>
FARPROC GetFunctionAddress(const char* moduleName, const char* functionName, DWORD functionOrdinal) {
    HMODULE hModule = GetModuleHandleA(moduleName);
    //获取 kernel32.dll 模块的句柄
    if (hModule == NULL) {
        return NULL; // 模块未找到
    }

    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;//DOS头,入口地址
    PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((BYTE*)pDosHeader + pDosHeader->e_lfanew);
    DWORD exportRVA = pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;

    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportRVA);

    PDWORD pAddressOfFunctions = (PDWORD)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    PDWORD pAddressOfNames = (PDWORD)((BYTE*)hModule + pExportDir->AddressOfNames);
    PWORD pAddressOfNameOrdinals = (PWORD)((BYTE*)hModule + pExportDir->AddressOfNameOrdinals);

    FARPROC functionAddress = NULL;

    if (functionName != NULL) {
        // 根据函数名称查找
        for (DWORD i = 0; i < pExportDir->NumberOfNames; ++i) {
            if (strcmp((char*)((BYTE*)hModule + pAddressOfNames[i]), functionName) == 0) {
                functionAddress = (FARPROC)((BYTE*)hModule + pAddressOfFunctions[pAddressOfNameOrdinals[i]]);
                break;
            }
        }
    } else if (functionOrdinal != 0) {
        // 根据函数序号查找
        if (functionOrdinal <= pExportDir->NumberOfFunctions) {
            functionAddress = (FARPROC)((BYTE*)hModule + pAddressOfFunctions[functionOrdinal - 1]);
        }
    }

    return functionAddress;
}
int main()
{
    
    FARPROC loadLibraryAAddress = GetFunctionAddress("kernel32.dll", "LoadLibraryA", 0);
}

在导出表中,函数序号是从 1 开始的,而在数组中的索引是从 0 开始的。因此,为了获取正确的函数地址,需要将函数序号减去 1,以匹配数组的索引。

那我们判断是利用序号还是名称获取导入表函数,一般是通过 (DOWRD)lpProcName>0xffff 判断是否参数大于两个字节(windows是这样判断的)

云棋
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Python3实现DLL注入问题解决
wuhaibin12的博客
04-18 1703
Python3实现DLL注入问题解决 一.VirtualAllocEx申请空间失败 需要提权。 二. CreateProcessA失败 Python 3.x的所有字符串以Unicode存在,所以可以改用CreateProcessW来调用。或者使用CreateProcessA时,将字符串转为Ascii。其他具有A和W区别的方法同理。 三. GetProcAddress获取地址失败 GetProcAddress的没办法使用宽字符,都得用Ascii那一套。 四. 方法调用时最好显示给出参数的类型。.
Kernel32.dll 文件的导出表的分析
qq_43675728的博客
10-16 1399
Kernel32.dll 文件的导出表的分析 一.实验目的 使用PEviews与OllyDbg分析Kernel32.dll。 二.实验原理准备 (1)PE/ELF文件格式 1、PE/ELF都是可执行文件格式。(被装载器和链接器使用的可执行文件的规 范格式,可执行,文件时二进制分析的输入。) 2、典型代表: Unix/Linux下:Executable and Linkable Format(ELF)格式。 Windows下,Portable Executable(PE)格式。
kernel32.dll!API调用流程分析
weixin_30455023的博客
04-19 732
用IDA, OD分析kernel32.dllAPI调用流程,知其所以然。 1.用CreateFileW,CreateFileA函数分析 CreateFileA 整个流程: kernel32.dll!CreateFileA流程 kernel32.dll!Basep8BitStringToDynamicUnicodeString kernel32....
Win32 API函数大全
sms88的专栏
08-16 3820
作者:京东瀚览家居官方旗舰店     下面给出的全是WINDOWS自带的API函数,可以用于VB和VC。给出的是函数名和函数功能。想知道细节可以用GOOGLE搜一下。这可以做为一个索引来用。 1. API之网络函数 WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同...
PE文件——导入表&导出表&函数覆盖
Woolemon的博客
04-06 6062
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
python无法打开kernel32.lib_使用Python C类型在kernel32上调用GetModuleHandle
weixin_33371440的博客
01-12 452
I'm trying to use Python's C-Types to call GetModuleHandleA on the kernel32 library. I'd like to get a handle to the library so I can use it to call GetProcAddress for LoadLibraryA. Below is my code...
易语言取API函数地址
07-21
`GetDword`通常是Windows API的一部分,存在于`kernel32.dll`库。我们可以这样使用`GetApiAddress`: ```e .函数地址 = GetApiAddress("GetDword", "kernel32.dll") ``` 在易语言,`shl`是位左移运算符,用于...
获取kernel32位相关信息地址.rar
06-06
Windows API,这些函数地址并不直接在程序代码硬编码,而是通过动态加载DLL并在运行时获取函数入口点来实现。这种方式称为延迟加载(Delay Load),它允许程序在真正需要时才调用特定DLL函数,提高了程序...
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
这通常通过`GetProcAddress`函数完成,它在`kernel32.dll`定义,用于获取模块(如`user32.dll`、`ntdll.dll`)导出函数地址。 3. **HOOK实现**:一旦获取到函数地址,我们可以设置HOOK。常见的HOOK技术有全局...
labview 调用windows API函数DLL摄像头采集程序,labview调用dll实例,LabView
09-11
Windows API函数多数以DLL的形式存在,如kernel32.dll和user32.dll等,它们提供了操作系统的核心服务和用户界面功能。 在LabVIEW调用DLL,通常分为以下几个步骤: 1. **创建DLL引用**:打开LabVIEW,新建一个VI...
电子科技大学软件安全搜索API实验
01-05
首先,从kernel32.dll的基地址开始,找到PE头,然后通过PE头的导出表指针,找到导出函数的RVA地址和函数名列表。通过函数名搜索函数序号,再根据函数序号在RVA列表找到函数的RVA,最后加上DLL的基地址,得到函数的...
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1852
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
Kernel32.dll 的方法
Michael.M的专栏
09-16 4874
<br />_hread _hwrite _lclose _lcreat _llseek _lopen _lread _lwrite ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlternateComputerNameW AddRefActCtx AddVectoredExceptionHandler Al
Can't find dll entry point GetModuleHandleA in kernel32
immigrator的专栏
04-13 1469
最近在用COOPER的变电站自动化产品的HMI做二次开发,很简单,VBA开发。由于技术手册简单,技术服务 also too bad,被逼无奈,我准备在VBA使用HOOK来截获HMI的消息,以便做更多的应用。但在开发这个钩子的时候,遇到了上述问题,GOOGLE了一上午,没发现任何有价值的答案。 我做了10多年的c++,对DLL还是非常熟的。无非两种原因导致这种情况,一是DLL本身没有导出这个函数
获取kernel32.dll基址
bcbobo21cn的专栏
01-03 5603
获取kernel32.dll基址 一 原理和概述 找kernel32基地址的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp存放的一般是 Ker
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 488
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称表(下面统称为ENT),匹配到需要的函数...
几种得到kernel32.dll地址的方法(基本就是抄的)
程序员的梦
02-13 1万+
1)利用PEB结构来查找原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于         PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构,相应的双向链表头部        的指针
KERNEL32.DLL可供调用的API函数列表
热门推荐
forpersonal
08-07 2万+
KERNEL32.DLL可供调用的API函数列表,如下: ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlte
KERNEL32.dll的ExportTable以及如何查找导出函数
乱七八糟の中转站
05-21 1572
我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的,所以这一篇呢,就分析一下DLL里的ExportTable,以KERNEL32.dll为例。 首先在Hex Edit里打开KERNEL32.dll: 可以看出,KERNEL32.dll还是符合PE文件格式滴~① ExportTable(RVA):00 0B 4D E0,Si
如何用PEview,LordPE等工具查看本机kernel32.dll的文件格式,查询ExitProcess函数的地址(非RVA值,请给出真实地址!)
最新发布
06-12
PEview 和 LordPE 都是针对可执行文件的 PE 文件格式进行分析的工具,而 kernel32.dllWindows 系统自带的动态链接库,其格式也是 PE 文件格式,因此这些工具同样可以用来查看和分析 kernel32.dll 文件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值