修改大神写的MyGetProcAddress支持64位

ULONG_PTR MyGetProcAddress(  
	HMODULE hModule,    // handle to DLL module  
	LPCSTR lpProcName   // function name  
	)  
{  
	int i=0;  
	char *pRet = NULL;  
	PIMAGE_DOS_HEADER pImageDosHeader = NULL;  
	PIMAGE_NT_HEADERS pImageNtHeader = NULL;  
	PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = NULL;  

	pImageDosHeader=(PIMAGE_DOS_HEADER)hModule;  
	pImageNtHeader=(PIMAGE_NT_HEADERS)((ULONG_PTR)hModule+pImageDosHeader->e_lfanew);  
	pImageExportDirectory=(PIMAGE_EXPORT_DIRECTORY)((ULONG_PTR)hModule+pImageNtHeader->OptionalHeader.DataDirectory  
		[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);  

	DWORD dwExportRVA = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;  
	DWORD dwExportSize = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;  

	DWORD *pAddressOfFunction = (DWORD*)(pImageExportDirectory->AddressOfFunctions + (ULONG_PTR)hModule);  
	DWORD *pAddressOfNames = (DWORD*)(pImageExportDirectory->AddressOfNames + (ULONG_PTR)hModule);  
	DWORD dwNumberOfNames = (DWORD)(pImageExportDirectory->NumberOfNames);  
	DWORD dwBase = (DWORD)(pImageExportDirectory->Base);  

	WORD *pAddressOfNameOrdinals = (WORD*)(pImageExportDirectory->AddressOfNameOrdinals + (ULONG_PTR)hModule);  

	//这个是查一下是按照什么方式(函数名称or函数序号)来查函数地址的  
	DWORD dwName = (DWORD)lpProcName;  
	if ((dwName & 0xFFFF0000) == 0)  
	{  
		goto xuhao;  
	}  

	for (i=0; i<(int)dwNumberOfNames; i++)  
	{  
		char *strFunction = (char *)(pAddressOfNames[i] + (ULONG_PTR)hModule);  
		if (strcmp(strFunction, (char *)lpProcName) == 0)  
		{  
			pRet = (char *)(pAddressOfFunction[pAddressOfNameOrdinals[i]] + (ULONG_PTR)hModule);  
			goto _exit11;  
		}  
	}  
	//这个是通过以序号的方式来查函数地址的  
xuhao:  
	if (dwName < dwBase || dwName > dwBase + pImageExportDirectory->NumberOfFunctions - 1)  
	{  
		return 0;  
	}  
	pRet = (char *)(pAddressOfFunction[dwName - dwBase] + (ULONG_PTR)hModule);  
_exit11:  
	//判断得到的地址有没有越界  
	if ((ULONG_PTR)pRet<dwExportRVA+(ULONG_PTR)hModule || (ULONG_PTR)pRet > dwExportRVA+ (ULONG_PTR)hModule + dwExportSize)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	char pTempDll[100] = {0};  
	char pTempFuction[100] = {0};  
	lstrcpyA(pTempDll, pRet);  
	char *p = strchr(pTempDll, '.');  
	if (!p)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	*p = 0;  
	lstrcpyA(pTempFuction, p+1);  
	lstrcatA(pTempDll, ".dll");  
	HMODULE h = LoadLibraryA(pTempDll);  
	if (h == NULL)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	return MyGetProcAddress(h, pTempFuction);  
}  


坑爹的CSDN Code,引用点了半天没反应...     https://code.csdn.net/snippets/1991596  需要的到这里下载吧

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
模块原理: wow64 是在 64 位操作系统上允许 32 位程序(比如易编译的程序)执行的模拟器子系统;在 64 位操作系统中,不管你的程序是 32 还是 64 位的,其实都存在两个地址空间,正常情况下 32 位程序访问的自然是 32 位的地址空间,而 64 位程序访问其 64 位地址空间。 但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成; 部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。 模块功能: 实现易语言纯 64 位汇编置入代码; 允许调用易程序 64 位 ntdll.dll 的所有函数,也就是你虽然开发的是 32 位程序,但可以实现很多 64 位函数所能实现的功能; 直接使用 64 位函数ziyou读(注入) 64 位进程,与很多模块调用 NtWow64xxx 系列函数实现的方式有本质不同; 部分常用 ntdll.dll 函数已在模块直接提供,或以模拟 kernel32 函数的调用形式提供,v1.1 新增多个函数; 未提供函数获取地址后,可使用 X64Call 这个通用函数调用即可; 大部分提供的 64 位功能也同时提供了 32 位版本,以便兼容不同需求(模块在 32 位系统中不会开启 64 位功能引起异常,但 32 位功能依然可用); 支持加载任意 32/64 位 DLL,从此易语言可以调用外部 64 位 DLL 了(包括加载 kernel32.dll),v1.1 新增功能; 除了动态加载外,还支持 32 位 DLL 的内存加载,但 64 位只能加载本地 DLL 文件,v1.1 新增功能; 如有 BUG,请提供错误重现代码及执行环境,如非不可抗因素我都会及时更新的; 部分命令简述: 以下只是适用于 64 位的部分函数,模块中以相同命令形式实现的 32 位命令,这里就不列举了; 辅助函数 fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真 fn_ProcessIsX64 检测指定进程是否为 64 位进程 fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希 易内部命令 X64Call 调用 64 位函数通用版本 X64MemCopy 同类还有 X64MemCmp 函数;从 64 地址复制数据或 64 位地址与 32 位地址数据对比,但仅限进程内部 X64GetLong64 获取 64 位地址数值,同类函数还有:X64GetLong32、X64GetWord、X64GetByte X64GetTEB 取当前易程序 64 位 TEB,通过 TEB 再取 PEB,则进程和线程信息以及模块等一览无余了 GetNtdll64 ntdll.dll 在 64 位环境下的内存基址 GetModuleHandleEx64 通过模块哈希值获取其 64 位地址空间的内存基址(易进程而不是外部进程哦);同类还有 GetModuleHandle64 GetProcAddressEx64 通过函数哈希值或函数索引序号获取其 64 位调用地址;同类还有 GetProcAddress64 NtQuerySystemInformation64 查询系统信息,可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API,但其个别功能十分好用且没用可替代品。查询系统进程也是最全面的 OpenProcess64 打开进程句柄,关闭进程句柄时使用 CloseHandle64;【v1.1新增】 HeapAlloc64 堆管理函数,同类还有 GetDefaultHeap64/HeapReAlloc64/HeapFree64/HeapSize64;【v1.1新增】 malloc64 简化版默认堆管理函数,同类还有 realloc64/free64 RtlUnicodeToAnsi64 内核实现的 Unicode、Ansi 结构(不是数据指针)管理函数,同类还有:RtlInitAnsiString64/RtlFreeAnsiString64、RtlInitUnicodeString64/RtlFreeUnicodeString64、RtlAnsiToUnicode

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值