获取GetProcAddress函数地址

最新推荐文章于 2025-03-14 10:47:34 发布
最新推荐文章于 2025-03-14 10:47:34 发布
阅读量5.4k 收藏 5
点赞数
分类专栏: Shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/83478671
版权

我们都知道,GetProcAddress函数就是从系统文件kernel32.dll中导出的,而kernel32.dll是系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll的基址就可以找到GetProcAddress函数的地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到kernel32.dll并搜索出加载基址,第三种就是通过线程环境块TEB的信息逐步找到kernel32.dll的加载地址。

这里介绍第三种办法:

1.通过段选择字FS在内存中得到当前线程环境块TEB的地址。

2.TEB偏移为0x30处是指向进程环境块PEB的指针。

3.PEB偏移为0x0c处是指向PEB_LDR_DATA结构的指针。

4.PEB_LDR_DATA偏移为0x1c处是模块初始化链表的头指针InInitializationOrderModuleList。

5.InInitializationOrderModuleList中按顺序存放着这个进程初始化模块的信息,第一个节点是ntdll.dll基址,第二个就是kernel32.dll基址。

DWORD GetKernel32Base()
{
    DWORD dwKernel32Base=0;
    _asm
    {
           push eax
           mov eax,dword ptr fs:[0x30]
           mov eax,[eax+0x0c]
           mov eax,[eax+0x1c]
           mov eax,[eax]
           mov eax,[eax+0x08]
           mov dwKernel32Base,eax
           pop eax
     }
     return dwKernel32Base;
}

 

第06节 原则:函数地址的动态获取
imbyter师哥的博客
05-02 136
实现对GetProcAdress函数地址获取后,就可以结合kernel32的基址,再次获取到LoadLibraryA(或LoadLibraryW)这个函数地址,然后就可以LoadLibraryA+GetProcAdress实现对任意函数的动态调用。上述GetProcAddress地址获取,是基于PE结构导出表定位函数地址的原理。上一讲我们介绍了kernel32基址的获取,这一节来介绍如何解决GetProcAddress动态调用的问题。在上述代码中,我们测试了MessageBoxA函数的动态调用。
GetProcAddress 使用注意事项
热门推荐
生命不息, 战斗不止!
08-12 2万+
使用 GetProcAddress Function 时,有以下几点需要特别留意: 1. 第二个参数类型是 LPCSTR,不是 LPCTSTR; 2. 用 __declspec(dllexport),按 C 名称修饰(extern "C") 导出的函数名,对于 __std
使用汇编代码获取GetProcAddress函数地址的大致步骤(面试题系列)
ATree的博客
01-23 2604
1、首先通过FS寄存器获取到TEB的地址 2、在TEB偏移为0x30处的成员是PEB 3、PEB偏移为0xC处的成员是PEB_LDR_DATA结构体指针 4、PEB_LDR_DATA结构体偏移为0x1C处成员为InInitializationOrderModuleList,初始化模块链表,这个成员保存的是模块链表的头部地址。 5、通过InInitializationOrderModuleL
详细介绍GetProcAddress()
最新发布
felicity_one的博客
03-14 847
作用从指定的 DLL 模块中检索导出函数地址,支持通过函数名或序号访问。该函数是动态链接的核心实现,广泛应用于插件系统、内存注入、免杀技术等领域。函数原型​参数hModule:DLL 模块的句柄,可通过或获取。lpProcName:函数名(LPCWSTR)或序号(低 16 位为序号,高 16 位为 0)。返回值成功时返回函数地址FARPROC类型)。失败时返回NULL,可通过 GetLastError获取错误代码(如126表示模块未找到)。
GetProcAddress
weixin_30883777的博客
10-09 978
GetProcAddress 显式链接到 DLL 的进程调用 GetProcAddress获取 DLL 导出函数地址。使用返回的函数指针调用 DLL 函数GetProcAddress 将(由 LoadLibrary、AfxLoadLibrary 或 GetModuleHandle 返回的)DLL 模块句柄和要调用的函数名或函数的导出序号用作参数。 ...
GetProcAddress获取函数地址和直接调用(或者引用) API函数---这两者有何不同?
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-20 489
在源程序文件中使用GetProcAddress获取函数地址后调用函数和在源码中直接调用 API函数或者直接引用API函数,这两者有何不同?
自实现getprocaddress(名称查找或者序号查找)
bring_coco的博客
08-29 1036
那么这里来总结下,总共四步骤1.导出表2.导出函数名称表3.导出函数名称序号表4.导出函数地址表/*WINBASEAPI //导出不需要使用,那么我们注释掉*/FARPROCWINAPI//NT头//导出表项,获得RVA RVA并不是真正的导出表项需要转VA,转VA需要加上image_base(也就是加载地址)//导出表//这个才是真正的VA,真正的导出表项,因为RVA在内存中是没有的*///导出函数名称表//导出函数名称序号表//导出函数地址表。
易语言通过序列号取API函数地址
07-22
易语言通过序列号取API函数地址源码,通过序列号取API函数地址,序列号取API,十六到十,十到十六,LoadLibrary,ImageDirectoryEntryToData,GetProcAddress,GetProcAddress_,FreeLibrary,ReadProcessMemory,wvsprintf,...
使用GetProcAddress获取C++重载函数
一只菜鸟的专栏
09-20 6074
GetProcAddress函数是用来在动态加载完动态链接库后,从链接库中获取函数地址的。
函数指针通过获取函数地址方式加载vs2022创建的动态链接库
03-06
本内容将详细介绍如何使用Visual Studio 2022创建一个动态链接库(DLL),并且展示如何通过获取函数地址的方式来加载并使用该DLL中的函数。我们会涉及到两个工程项目,第一个是动态链接库的创建,第二个是主调应用...
GetProcAddress模拟函数
04-19
GetProcAddress模拟系统GetProcAddress可以躲避为杀毒软件进行GetProcAddress钩子。
GetProcAddress()函数
好好学习
01-07 905
GetProcAddress()函数的作用
GetProcAddress用法
nemo2011的专栏
09-05 2万+
函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址函数原型: FARPROC GetProcAddress(   HMODULE hModule,    // DLL模块句柄   LPCSTR lpProcName   // 函数名 ); 参数: hModule    [in] 包含此函数的DLL模块的句柄。LoadLibra
转载 获得kernel32.dll基地址
Breaking The Secretes
05-01 1316
获取kernel32.dll映像基址   很久不写关于技术的东西了,由于最近在研究内嵌汇编和机器码的注入,故把下面这段代码列出来。其中C/C++的部分和inline asm的最后一句是我写的。自评:极其缺乏原创精神。
获取GetProcAddress
weixin_45880501的博客
12-05 96
fs:[0x30] 指向peb,PPEB_LDR_DATA 偏移1c是一个指向LIST_ENTRY InInitializationOrderModuleList结构的指针,这个结构 存放着指向模块初始化链表的头 , 按顺序存放着PE装入运行时初始化模块信息,一般来说第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll。我们就在其中找到kernel32.dll的信息,获取其PE信息,得到导出表,循环遍历得到GetProcAddress函数
易语言获取API函数地址的编程技巧
- 使用GetProcAddress函数获取具体的API函数地址。 - 创建对应的易语言函数接口,以调用API函数。 7. 调试和维护易语言程序: - 使用易语言自带的调试工具。 - 查看和修改程序中的变量和地址值。 - 确保程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值