获取PE文件导入的dll列表(Win32, C++)

原创 已于 2024-03-01 22:25:22 修改 · 428 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #java #开发语言

于 2022-11-17 14:14:46 首次发布
本文介绍了一段用于获取指定PE文件(如exe或dll)所依赖的所有dll列表的C++代码实现。该方法适用于x64和x86环境,并通过实际案例展示了如何使用此代码来列出两个游戏程序的dll依赖。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近需=编写检查某个PE文件(exe或者dll)依赖的dll有哪些, 于是查找资料尝试编写了这段代码, 经测试, 在x64或者x86环境下均可获取x64和x86的PE文件的dll列表.

 

#include <windows.h>
#include <dbghelp.h>
#include <tchar.h>
#include <vector>
#include <string>

#pragma comment(lib, "dbghelp.lib")

//获取指定模块导入的dll列表
std::vector<std::string> GetDependsDlls(LPCTSTR filePath)
{
    std::vector<std::string> dllList;

    HANDLE hFile = INVALID_HANDLE_VALUE;
    HANDLE hFileMap = NULL;
    LPVOID lpbaseAddress = NULL;

    PIMAGE_NT_HEADERS pNtHeaders = NULL;
    PIMAGE_IMPORT_DESCRIPTOR pImportDesc = NULL;
    DWORD dwSize = 0;

    hFile = CreateFile(filePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        goto L_Cleanup;
    }

    hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
    if (NULL == hFileMap)
    {
        goto L_Cleanup;
    }
    
    lpbaseAddress = MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);
    if (NULL == lpbaseAddress)
    {
        goto L_Cleanup;
    }

    pNtHeaders = ImageNtHeader(lpbaseAddress);
    if (NULL == pNtHeaders)
    {
        goto L_Cleanup;
    }

    pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToDataEx(lpbaseAddress, FALSE, IMAGE_DIRECTORY_ENTRY_IMPORT, &dwSize, NULL);
    if (NULL == pImportDesc)
    {
        goto L_Cleanup;
    }

    for (int i = 0; 0 != pImportDesc[i].Name; ++i)
    {
        LPCSTR szDllName = (LPCSTR)ImageRvaToVa(pNtHeaders, lpbaseAddress, pImportDesc[i].Name, NULL);
        dllList.push_back(szDllName);
    }

L_Cleanup:
    if (NULL != lpbaseAddress)
    {
        UnmapViewOfFile(lpbaseAddress);
    }

    if (NULL != hFileMap)
    {
        CloseHandle(hFileMap);
    }

    if (INVALID_HANDLE_VALUE != hFile)
    {
        CloseHandle(hFile);
    }

    return dllList;
}

main.cpp


#include <iostream>

int main()
{
    std::vector<std::string> dllList;

    printf("szDllName: %s\n", R"(D:\games\7 Billion Humans.exe)");
    dllList = GetDependsDlls(_T(R"(D:\games\7 Billion Humans.exe)"));
    for (auto item : dllList)
    {
        std::cout << item << std::endl;
    }
    std::cout << std::endl;

    printf("szDllName: %s\n", R"(D:\games\megaman11.exe)");
    dllList = GetDependsDlls(_T(R"(D:\games\megaman11.exe)"));
    for (auto item : dllList)
    {
        std::cout << item << std::endl;
    }
    std::cout << std::endl;

    return 0;
}

 

 

一、C++反作弊对抗实战 (基础篇 —— 5.PE导入注入dll)
Koma的主页
03-02 695
提在之前的文章中有详细讲解PE结构的,详情可以回顾一下:https://blog.youkuaiyun.com/wangningyu/article/details/122991132   导入Windows PE文件中的一种特殊数据结构,可执行程序(EXE)被加载到地址空间后,每个导入DLL模块都有一个对应的导入PE加载器会根据导入来加
C++动态库编程】C++名称改编、标准C接口、extern “C“、函数调用约定以及def文件详解
热门推荐
dvlinker的技术专栏
08-27 3万+
本文通过一个具体的dll动态库编程实例,详细讲述动态库导出接口相关的导入导出声明、标准C接口、extern "C"作用、函数调用约定声明、跨语言调用dll接口以及def文件等内容。
[源码和文档分享]根据PE文件格式从导入获取加载的DLL并遍历导入函数名称和地址...
qq_38474647的博客
12-30 278
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入以及导出的工作原理,又是重中之重。理解了 PE 格式的导入,就可以修改 PE 格式进行 DLL 注入,也可以修改导入实现 API HOOK 等。理解了 PE 格式的导出,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
通过PE结构遍历EXE所依赖的DLL
u012415226的博客
11-15 579
通过PE结构获取 exe执行文件所依赖的DLL列表
PE文件的引入和导出
bdmh的专栏
12-27 5502
直接上代码,PE结构可参阅资料,很多很详细,需要注意的是,本例中是映射到内存,不是通过PE装载器装入的,所以对于节的RVA地址需要转换成为文件偏移地址。Delphi代码unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; type //导入元素结构 TImageImportDis
输出pe文件dll、exe等)依赖的dll导入、实验代码
why_are_you_so的博客
03-25 503
DOS头,NT头,节以及具体节DOS头结构体:IMAGE_DOS_HEADER,其中e_lfanew指明了NT头位置,相关结构体都能在 winnt.h 看到。NT头结构体:IMAGE_NT_HEADERS32关注中的ImageBase及成员ImageBase:映象(加载到内存中的PE文件)的基地址,这个基地址是建议,对于DLL来说,如果无法加载到这个地址,系统会自动为其选择地址。一些指令的操作数跟此地址在同一个地址空间。:一个IMAGE_DATA_DIRECTORY数组,指向了导入,导出
WIN32汇编语言程序设计——导入的函数及引用DLL名称信息(CHA17)
evagenius的博客
03-22 324
值得一提的是访问数据目录的时候地址是DataDirectory[8].VirtualAddress,这里要说明一下:在MASM中,不管数组中的单个数组项字节数是多少,括号中的数值都是字节地址而不是数组下标,所以数据目录结构的长度是8的时候,访问第n个结构时要寻址的就是DataDirectory[n*8],所以上面的DataDirectory[8]实际上是DataDirectory[1*8]的意思,示访问的是索引号为1的数组项。(1) 子程序参数1:已经读到内存中的文件头的地址。
在没有LoadLibrary()的情况下“手动”加载Win32 / 64 DLL
04-01
总结来说,"在没有LoadLibrary()的情况下“手动”加载Win32 / 64 DLL"是一种高级技术,它涉及到深入理解Windows操作系统和PE文件格式,以及熟练掌握汇编和C++编程。这在某些特殊场景下,如低级系统编程、逆向工程...
C++实现PE文件导入解析教程
C++中实现上述解析操作时,可以采用Win32 API中的函数如CreateFile、ReadFile、CloseHandle等来读文件内容。同时,根据需要,可能需要使用到结构体IMAGE_DOS_HEADER、IMAGE_NT_HEADERS、IMAGE_IMPORT_DESCRIPTOR...
自研PE文件分析器:VC6 Win32版与VS2008 MFC版
PE文件格式是微软为其Windows平台上的应用程序定义的一种标准文件格式,用于规范可执行文件(.exe)、动态链接库(.dll)、驱动程序(.sys)等的结构。因此,PE文件分析器在恶意软件分析、软件调试、逆向工程等领域...
PE文件导入解析(C++
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
C语言实现遍历PE文件导入
溡漪幽博客
09-16 666
C++ 编程实现遍历PE文件导入,可以遍历延迟导入的函数
PE文件结构的介绍并使用C++PE文件信息
陈子青的博客
07-11 1988
PE文件结构分为五个部分:DOS文件头DOS加载模块PE文件头区段区段 windows环境中会直接跳过前两个部分直接从PE文件头开始,所以直接略过这两个部分。PE文件头大小为224字节左右,因为有个可选头所以实际长度不定。里面包含许多关于PE文件的整体信息,这些信息主要是描述PE文件的大概情况,但是更细节信息在区段中。如上图所示,PE文件头分为三个结构,第一个为签名字段,第二个为文件头字段,第三个为可选头字段。signature字段 在一个PE文件中Signature字段被设置为4550h,ASCII码
PE文件信息解析(Win32, C++)
FlameCyclone的博客
02-05 777
PE文件信息解析助手类, 方便地解析PE文件常见信息
PE文件结构—导入解析
最新发布
weixin_48257887的博客
05-09 304
【代码】PE文件结构—导入解析。
PE文件导入的代码注入
谢启东的专栏
05-05 8383
 PE文件导入的代码注入           试想一下,如果通过修改导入,能把PE格式文件中的函数入口点,重定向到自己的程序中来,是不是很酷!这样,在自己在程序中,可以过滤掉对某些函数的调用,或者,设置自己的处理程序,Professional Portable Executable (PE) Protector也就是这样做的。另外,某些rootkit也使用了此方法把恶意代码嵌入
13.PE文件之绑定导入(IMAGE_BOUND_IMPORT_DESCRIPTOR)
kernelhack
10-30 4207
绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率. 当PE文件被加载到内存时,加载器会先检查导入,然后把需要加载的DLL载入到地址空间中. 加载器还有一项比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT的内容,这个步骤会花去一部分时间.但是如果知道函数实际的地址,就可以直接把数组中的元素替换为地址,这能节省相当多的时间.这种方法就称为绑定(Binding). 绑定导入定位以及解析(手动FileBuffer) 测试文件Win7 x86下note..
PE文件导入详解
只为改变自己
05-03 1253
PE导入详解
pe(32位)导入解析代码
JTB_xia的博客
06-12 162
#include <iostream> #include <Windows.h> #include <fstream> #include "ku.h" using namespace std; int main(int argc, char** argv) { if (argc != 2) { return 1; } UINT l; cout.setf(ios::hex, ios_base::showbase.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值