巧用函数返回地址获取导出函数的直接调用模块

最新推荐文章于 2023-10-16 10:21:52 发布
最新推荐文章于 2023-10-16 10:21:52 发布
阅读量1.3k 收藏
点赞数 2
分类专栏: C++ 文章标签: 内联汇编 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzehome/article/details/80001171
版权

目的: 实现调用DLL中检测调用来源模块


描述:开发三方接口时经常会遇到模块校验,常见做法有如下几种

1. 在接口中开放参数,专门用于校验 

2. 在接口DLL中校验调用模块

本文主要介绍第2种的实现方法


实现原理:

假设有函数 Add(a+b);

从C/C++角度看,貌似没有办法在Add函数中知道是谁调用了它.

从汇编角度看,在Add函数调用流程如下;

1. push 参数b

2. push 参数a

3. Call   函数Add , 在Call的时会将Add函数下一行代码地址做为返回地址,压栈

4. 到达Add函数的代码位置开始堆栈平衡操作,其中EBP寄存器会记录栈底的指针

5. 开始Add函数的执行

方法:

1.在第4步堆栈平衡操作中,EBP存储的是栈底的指针,

2.在第3步call调用时会将调用Add函数的下一条指令地址压栈,

3.如果能获取此地址,那么根据VirtualQuery查询到的指针基址,

4.此基址就是调用函数的模块句柄(HOMDULE),

5.使用GetModuleFileName可以获取模块的路径.

6.根据模块路径,我们可以检查模块的名称,

7.根据模块路径,可以获取版权,数字签名等信息做为校验的依据.


int c Add(int a ,int b)
{
//获取调用模块名称sart
PVOID pAddress = NULL;
PVOID tmpEAX = NULL;
_asm{
MOV tmpEAX , eax
mov eax , [ebp+4]
MOV pAddress ,eax 
mov eax , tmpEAX
}


MEMORY_BASIC_INFORMATION mbi;
HMODULE hModule = NULL;
TCHAR buffer[1024] = {0};
if (::VirtualQuery(pAddress,&mbi,sizeof(mbi)) != 0)
{
hModule = (HMODULE)mbi.AllocationBase;
GetModuleFileName(hModule,buffer,1024);
}
//获取调用模块名称end
return a+b;
}



i华仔
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++获取函数返回地址
Rprop
03-11 1万+
一般而言, 能否覆盖函数返回地址是栈溢出攻击成功与否的前提, 而获取函数返回地址原理很简单, 栈回溯即可, 下面是x86上相应获取代码(仅为示例不可用于生产): #define Stack_Length (4 * 4 * 4) static void *_esp_arr[Stack_Length]; void *GetRet(void *caller) { void *_esp; __asm
如何获取指定内存所在的模块、当前模块、当前函数返回模块
05-12 2570
利用一个函数VirtualQuery可以获取指定内存所在的模块:inline HMODULE GetModuleFromAddr(PVOID p){    MEMORY_BASIC_INFORMATION m = {0};    VirtualQuery(p, &m, sizeof(MEMORY_BASIC_INFORMATION));    return (HMODULE) m.Allo
函数地址调用函数
东方红Zone
03-16 461
int f2(){ cout return 1;}int main(int argc, char* argv[]){     int * pi = 0;   pi = (int*)&f2;  (*(int (*)())pi)(); return 0;}
C#调用c++类的导出函数
weixin_34163741的博客
05-23 288
C# 需要调用C++东西,但是有不想做成COM,就只好先导出类中的函数处理。 不能直接调用,需单独导出函数 参考:http://blog.csdn.net/cartzhang/article/details/9097043 c# 调用c++导出类的一个示例 参考:http://blog.csdn.net/huiyouyongdeyu2011/article/details/6547931 ...
根据导出函数获取dll中定义的方法
倾听内心的声音
03-30 432
//获取中间件包含的功能号 unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; type TForm1 = class(TForm) Button1: TButton; pro
详解C++ 动态库导出函数乱码及解决
08-26
def 文件是 DLL 的模块定义文件,可以用来指定 DLL 的导出函数。 例如: ``` LIBRARY dllExport EXPORTS Test1 = _Test1@12 ``` 五、结论 C++ 动态库导出函数乱码是一个常见的问题,但可以通过了解函数修饰...
x64位DLL接口导出函数查看器
07-01
导出函数是DLL的核心组成部分,它们是DLL对外提供的服务接口,其他程序可以通过这些接口调用DLL的功能。 “x64位DLL接口导出函数查看器”就是这样一个工具,它能够帮助开发者和系统管理员查看64位DLL文件中包含的...
动态调用DLL函数.e.rar
04-06
9. **命约定和兼容性**:在不同编译器和平台之间,函数调用的命约定可能不同。为确保跨平台兼容性,可以使用`__stdcall`、`__cdecl`等约定,并考虑使用`extern "C"`来避免C++的称修饰。 10. **使用配置文件...
C++ 导出dll接口函数 C++ 导出dll接口函数 C++ 导出dll接口函数
10-17
2. **定义导出函数**:在DLL的源文件中,你需要定义将要导出函数。使用`__declspec(dllexport)`关键字来标记这些函数,以便在编译时将其导出。例如: ```cpp extern "C" __declspec(dllexport) int add(int a, ...
动态调用DLL函数.rar
04-06
当编译DLL时,`__declspec(dllexport)`用于导出函数;在客户端程序中,`__declspec(dllimport)`用于导入函数。这样,客户端代码无需直接使用`LoadLibrary()`和`GetProcAddress()`,而是通过头文件直接调用函数,简化...
VB获取模块地址(VB获取dll地址).rar
09-26
VB获取模块地址(VB获取dll地址).rar
C++实现获取模块在进程中地址
06-04
C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址
IAR开发环境中的数据、函数定位方法
08-03
文章内容为IAR开发环境中的数据、函数定位方法。
获取模块基址
最新发布
weixin_50217210的博客
10-16 460
在 Windows 中,使用动态链接库(DLL)的函数通常通过在运行时获取函数地址调用。这个过程被称为 "API 动态解析"。
Windows获取模块地址
langshanglibie的专栏
05-29 7682
获取模块的基地址有如下几种方法: 1. 模块句柄就是模块地址(或称模块加载地址),直接模块句柄转换为模块地址 2. 根据模块中的地址得到模块句柄,模块句柄就是基地址 GetModuleHandleEx 3. 根据模块中的地址得到这个地址所属模块的基地址 但是 SymGetModuleInfoW64 总是运行失败 4. 使用 VirtualQueryEx 函数 5. 根据进程句...
驱动开发:取进程模块函数地址
热门推荐
CSDN
06-28 1万+
在笔者上一篇文章`《驱动开发:内核取应用层模块地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址,由于是入门系列所以并没有封装实现太过于通用的获取函数,本章将继续延申这个话题,并依次实现通用版`GetUserModuleBaseAddress()`取远程进程中指定模块的基址和`GetModuleExportAddress()`取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。
如何查找python模块地址(所有皆适用)
chali0311的博客
06-30 3970
如何查找python模块地址(仅限 Mac!) 首先,打开你的编辑工具(如pycharm, vscode等)。 在这里举一个栗子,假设你想弄到numpy这个第三方模块在你这个编辑工具里的具体位置,你可以先想这个模块会用到哪些模块。 在这里,numpy模块既然是跟数学有关,就一定会用到math内置模块,所以,你先新建一个文件,叫做math.py,在里面输入以下内容: from numpy import * 当然,用import语句原版也是可以的,具体如下: import numpy 你在运行此文件的时候,
linux根据地址得到所在模块,linux – 类似netfilter的内核模块,用于获取源和目标地址...
weixin_42298209的博客
05-12 104
我读了this guide写一个内核模块做简单的网络过滤.首先,我不知道这意味着什么,以及入站和出站数据包(通过传输层)之间的区别是什么?When a packet goes in from wire, it travels from physical layer, datalink layer, network layer upwards, therefore it might not go t...
导入导出地址表分析(根据库文件求出:导入函数数量、函数序号、函数称)
Hardworking666的博客
04-20 1104
文章目录一、基础知识找出库文件和RVAsec和RAWsec二、分析INT和IAT,得出导入函数数量三、第一函数序号、第一函数称 一、基础知识 导入地址表(Import Address Table,IAT)用来记录程序正在使用哪些DLL中的哪些函数。 导入称表(Import Name Table,INT) 找出库文件和RVAsec和RAWsec 通过分析PE头,可得notepad.exe的各节区头范围如表4-12所示。并分析出表4-13。 二、分析INT和IAT,得出导入函数数量 下面进一步分
node 调用c++ 模块函数传值
06-10
Node.js 可以通过 C++ 模块来扩展其功能,实现 C++ 模块函数调用需要使用 Node.js 提供的 `N-API` 接口。下面是一个简单的例子,演示了如何在 C++ 模块中实现一个函数,并在 Node.js 中调用函数并传递参数。 C++ 模块代码: ```cpp #include <node_api.h> napi_value add(napi_env env, napi_callback_info info) { size_t argc = 2; napi_value args[2]; napi_get_cb_info(env, info, &argc, args, nullptr, nullptr); int32_t a, b; napi_get_value_int32(env, args[0], &a); napi_get_value_int32(env, args[1], &b); napi_value result; napi_create_int32(env, a + b, &result); return result; } napi_value Init(napi_env env, napi_value exports) { napi_value fn; napi_create_function(env, nullptr, 0, add, nullptr, &fn); napi_set_named_property(env, exports, "add", fn); return exports; } NAPI_MODULE(NODE_GYP_MODULE_NAME, Init) ``` 上述代码定义了一个 `add` 函数,该函数接受两个整数参数,返回它们的和。然后将该函数导出为 Node.js 模块的一个属性。 在 Node.js 中调用函数: ```javascript const addon = require('./build/Release/addon'); console.log(addon.add(1, 2)); // 3 ``` 上述代码首先通过 `require` 函数引入了 C++ 模块,然后调用模块的 `add` 函数,并传入两个整数参数。`add` 函数返回它们的和,该和被输出到控制台上。 这是一个简单的例子,演示了如何在 C++ 模块中实现函数,并在 Node.js 中调用函数并传递参数。具体实现方式可以根据实际情况来进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值