修改大神写的MyGetProcAddress支持64位

最新推荐文章于 2022-10-31 01:13:26 发布
最新推荐文章于 2022-10-31 01:13:26 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: C++ 
ULONG_PTR MyGetProcAddress(  
	HMODULE hModule,    // handle to DLL module  
	LPCSTR lpProcName   // function name  
	)  
{  
	int i=0;  
	char *pRet = NULL;  
	PIMAGE_DOS_HEADER pImageDosHeader = NULL;  
	PIMAGE_NT_HEADERS pImageNtHeader = NULL;  
	PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = NULL;  

	pImageDosHeader=(PIMAGE_DOS_HEADER)hModule;  
	pImageNtHeader=(PIMAGE_NT_HEADERS)((ULONG_PTR)hModule+pImageDosHeader->e_lfanew);  
	pImageExportDirectory=(PIMAGE_EXPORT_DIRECTORY)((ULONG_PTR)hModule+pImageNtHeader->OptionalHeader.DataDirectory  
		[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);  

	DWORD dwExportRVA = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;  
	DWORD dwExportSize = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;  

	DWORD *pAddressOfFunction = (DWORD*)(pImageExportDirectory->AddressOfFunctions + (ULONG_PTR)hModule);  
	DWORD *pAddressOfNames = (DWORD*)(pImageExportDirectory->AddressOfNames + (ULONG_PTR)hModule);  
	DWORD dwNumberOfNames = (DWORD)(pImageExportDirectory->NumberOfNames);  
	DWORD dwBase = (DWORD)(pImageExportDirectory->Base);  

	WORD *pAddressOfNameOrdinals = (WORD*)(pImageExportDirectory->AddressOfNameOrdinals + (ULONG_PTR)hModule);  

	//这个是查一下是按照什么方式(函数名称or函数序号)来查函数地址的  
	DWORD dwName = (DWORD)lpProcName;  
	if ((dwName & 0xFFFF0000) == 0)  
	{  
		goto xuhao;  
	}  

	for (i=0; i<(int)dwNumberOfNames; i++)  
	{  
		char *strFunction = (char *)(pAddressOfNames[i] + (ULONG_PTR)hModule);  
		if (strcmp(strFunction, (char *)lpProcName) == 0)  
		{  
			pRet = (char *)(pAddressOfFunction[pAddressOfNameOrdinals[i]] + (ULONG_PTR)hModule);  
			goto _exit11;  
		}  
	}  
	//这个是通过以序号的方式来查函数地址的  
xuhao:  
	if (dwName < dwBase || dwName > dwBase + pImageExportDirectory->NumberOfFunctions - 1)  
	{  
		return 0;  
	}  
	pRet = (char *)(pAddressOfFunction[dwName - dwBase] + (ULONG_PTR)hModule);  
_exit11:  
	//判断得到的地址有没有越界  
	if ((ULONG_PTR)pRet<dwExportRVA+(ULONG_PTR)hModule || (ULONG_PTR)pRet > dwExportRVA+ (ULONG_PTR)hModule + dwExportSize)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	char pTempDll[100] = {0};  
	char pTempFuction[100] = {0};  
	lstrcpyA(pTempDll, pRet);  
	char *p = strchr(pTempDll, '.');  
	if (!p)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	*p = 0;  
	lstrcpyA(pTempFuction, p+1);  
	lstrcatA(pTempDll, ".dll");  
	HMODULE h = LoadLibraryA(pTempDll);  
	if (h == NULL)  
	{  
		return (ULONG_PTR)pRet;  
	}  
	return MyGetProcAddress(h, pTempFuction);  
}


坑爹的CSDN Code,引用点了半天没反应...     https://code.csdn.net/snippets/1991596  需要的到这里下载吧

i华仔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
e语言-易语言32位进程调用64位DLL函数
08-23
资源介绍:易语言32位进程调用64位DLL函数源码资源作者:
GetProcAddress
wiSCADA
10-16 1654
GetProcAddressVC声明  函数功能描述:  GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。  函数原型:  FARPROC GetProcAddress(  HMODULE hModule, // DLL模块句柄  LPCSTR lpProcName // 函数名  );  参数:  hModule
获取GetProcAddress函数地址
做一个快乐学习者
10-28 5307
我们都知道,GetProcAddress函数就是从系统文件kernel32.dll中导出的,而kernel32.dll是系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll的基址就可以找到GetProcAddress函数的地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到...
GetProcAddressEx跨进程获取导出函数地址
SomeTimes
12-06 3376
没什么新技术,就是把目标进程的内存读过来分析而已。 代码在x86下测试通过,由于手头没有x64系统,希望热心的朋友测试一下x64的兼容性,可能不兼容的地方已经在代码中标出。 PVOID GetProcAddressEx(HANDLE hProc, HMODULE hModule, LPCSTR lpProcName) { PVOID pAddress = NULL; SIZE_T OptS
java蓝牙开发所需jar包,bluecove,支持64位电脑
10-17
此压缩包包含两个jar包,bluecove-2.1.1-SNAPSHOT.jar和commons-io-2.6,是java蓝牙通讯所需的jar,bluecove,官方提供的jar包只支持32位,此jar包经过某大神改良,可在64位电脑上使用
大神的MySQL DBA学习笔记
09-09
这份“大神的MySQL DBA学习笔记”无疑是深入理解和掌握MySQL技术的重要资源,尤其适合那些希望提升自己在数据库管理领域技能的人。笔记内容可能涵盖了从基础概念到高级实践的全方位知识,包括但不限于以下关键点:...
大神的OD调试器成品
09-18
"大神的OD调试器成品"指的是某位专家或社区成员对OllyDbg进行了定制或者优化,形成了一个特别版本,可能是为了提升性能、增加特定功能或改善用户体验。 这个压缩包中包含的"**MyDbg.exe**"很可能就是这个定制版的...
esir大神编译的openwrt版本 以支持docker 科学
04-28
openwrt
大神的Oracle 19c RAC搭建指南
04-27
大神的Oracle 19c RAC搭建指南
eWOW64Ext v1.1 - 加载任意 32/64 模块|64 位汇编及进程读-易语言
06-12
模块原理: wow64 是在 64 位操作系统上允许 32 位程序(比如易编译的程序)执行的模拟器子系统;在 64 位操作系统中,不管你的程序是 32 还是 64 位的,其实都存在两个地址空间,正常情况下 32 位程序访问的自然是 32 位的地址空间,而 64 位程序访问其 64 位地址空间。 但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成; 部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。 模块功能: 实现易语言纯 64 位汇编置入代码; 允许调用易程序 64 位 ntdll.dll 的所有函数,也就是你虽然开发的是 32 位程序,但可以实现很多 64 位函数所能实现的功能; 直接使用 64 位函数ziyou读(注入) 64 位进程,与很多模块调用 NtWow64xxx 系列函数实现的方式有本质不同; 部分常用 ntdll.dll 函数已在模块直接提供,或以模拟 kernel32 函数的调用形式提供,v1.1 新增多个函数; 未提供函数获取地址后,可使用 X64Call 这个通用函数调用即可; 大部分提供的 64 位功能也同时提供了 32 位版本,以便兼容不同需求(模块在 32 位系统中不会开启 64 位功能引起异常,但 32 位功能依然可用); 支持加载任意 32/64 位 DLL,从此易语言可以调用外部 64 位 DLL 了(包括加载 kernel32.dll),v1.1 新增功能; 除了动态加载外,还支持 32 位 DLL 的内存加载,但 64 位只能加载本地 DLL 文件,v1.1 新增功能; 如有 BUG,请提供错误重现代码及执行环境,如非不可抗因素我都会及时更新的; 部分命令简述: 以下只是适用于 64 位的部分函数,模块中以相同命令形式实现的 32 位命令,这里就不列举了; 辅助函数 fn_WOW64Enabled 如果你在代码中需要使用 64 位汇编或者操作 64 位进程,则初始化时应确保本函数返回真。实际只要是 64 位操作系统,均应返回 真 fn_ProcessIsX64 检测指定进程是否为 64 位进程 fn_CalcModOrFuncHash 使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希 易内部命令 X64Call 调用 64 位函数通用版本 X64MemCopy 同类还有 X64MemCmp 函数;从 64 地址复制数据或 64 位地址与 32 位地址数据对比,但仅限进程内部 X64GetLong64 获取 64 位地址数值,同类函数还有:X64GetLong32、X64GetWord、X64GetByte X64GetTEB 取当前易程序 64 位 TEB,通过 TEB 再取 PEB,则进程和线程信息以及模块等一览无余了 GetNtdll64 ntdll.dll 在 64 位环境下的内存基址 GetModuleHandleEx64 通过模块哈希值获取其 64 位地址空间的内存基址(易进程而不是外部进程哦);同类还有 GetModuleHandle64 GetProcAddressEx64 通过函数哈希值或函数索引序号获取其 64 位调用地址;同类还有 GetProcAddress64 NtQuerySystemInformation64 查询系统信息,可获取很多类别信息。这个 API 微软已不推荐使用并给出部分替代 API,但其个别功能十分好用且没用可替代品。查询系统进程也是最全面的 OpenProcess64 打开进程句柄,关闭进程句柄时使用 CloseHandle64;【v1.1新增】 HeapAlloc64 堆管理函数,同类还有 GetDefaultHeap64/HeapReAlloc64/HeapFree64/HeapSize64;【v1.1新增】 malloc64 简化版默认堆管理函数,同类还有 realloc64/free64 RtlUnicodeToAnsi64 内核实现的 Unicode、Ansi 结构(不是数据指针)管理函数,同类还有:RtlInitAnsiString64/RtlFreeAnsiString64、RtlInitUnicodeString64/RtlFreeUnicodeString64、RtlAnsiToUnicode
X32进程注入x64DLL到x64进程
被遗弃的庸才博客
12-16 1626
在x32程序中获得x64函数地址是找到这个项目,之后根据自己的理解稍微改了改代码,测试之后能够正常的注入,代码如下 #include "stdafx.h" #include "x32Injectx64.h" #include <Windows.h> #include "wow64ext.h" #pragma comment(lib,"wow64ext.lib") CWinApp...
【DLL】【一文搞懂】(四)GetProcAddress函数
热门推荐
此地无银
02-11 1万+
一文搞懂动态库导入,GetProcAddress使用(动态库的显式链接)
DelphiXE2测试:从内存加载64位Dll
weixin_30530339的博客
09-27 516
unit NtResDll; interface uses {$IFDEF DELPHI16}Winapi.Windows{$ELSE}Windows{$ENDIF}, {$IFDEF DELPHI16}System.SysUtils{$ELSE}SysUtils{$ENDIF}, {$IFDEF DELPHI16}System.Classes{$ELSE}Classes{$ENDIF}...
c 编译易语言dll文件,易语言调用DLL的问题(付dll文件,VC++编译的)
weixin_42527665的博客
05-18 757
AA直译器v1.02.rar(795.15 KB, 下载次数: 143)2012-11-27 17:23 上传点击文件名下载附件dll说明:CE自动汇编直译器: AA引擎 各语言通用DLL - aa_engine.dll版本: v1.20 beta 13作者: axdx三个函数, 原型如下:1). 运行CE AA脚本bool AutoAssemble(HANDLE hProcess, char *...
win7 64bit下远程线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7505
http://blog.csdn.net/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 远程线程注入技术可以解决这个问题。   原理: 远程线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容
使用汇编代码获取GetProcAddress函数地址的大致步骤(面试题系列)
ATree的博客
01-23 2450
1、首先通过FS寄存器获取到TEB的地址 2、在TEB偏移为0x30处的成员是PEB 3、PEB偏移为0xC处的成员是PEB_LDR_DATA结构体指针 4、PEB_LDR_DATA结构体偏移为0x1C处成员为InInitializationOrderModuleList,初始化模块链表,这个成员保存的是模块链表的头部地址。 5、通过InInitializationOrderModuleL
C#64位应用程序远程注入及代理地址的转换
zhoumingongheguo的博客
10-31 415
使用C#实现64位远程注入的代码及其需要注意的事项。
win7精简优化版32位 64位 俄罗斯大神作品 windows7 32+64精简版
最新发布
05-01
同时,精简优化版还支持32位和64位两种版本。相对于32位系统而言,64位系统可以充分利用更大的内存空间,运行更加迅速。此外,精简优化版还加入了许多实用的工具和软件,如驱动助手、分区工具、杀毒软件等,使系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值