hash扫描获得api函数地址学习笔记

最新推荐文章于 2024-05-24 09:25:29 发布
原创 最新推荐文章于 2024-05-24 09:25:29 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了动态链接库(DLL)如何通过导出表结构提供函数供其他程序调用,并介绍了通过Hash算法高效搜索API函数地址的方法,以避免使用明文函数字符串可能带来的问题。文中以Rol 3移位算法为例,展示了如何计算API函数的Hash值并与预先定义的Hash值进行匹配,从而找到函数地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题

搜索获得api函数地址的实现

我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢?它实际上是采用输出表结构来描述本dll需要导出哪些函数来供其他的程序调用,这样其他的用户程序才能正常的调用此动态链接库的输出函数.

导出表结构:

IMAGE_EXPORT_DIRECTORY struct
Characteristics		DWORD	?	; 未使用,总是为0
TimeDateStamp		DWORD 	?	; 文件的产生时刻
MajorVersion		WORD	?	; 未使用,总是为0
MinorVersion		WORD	?	; 未使用,总是为0
nName			DWORD	?	; 指向文件名的RVA
nBase			DWORD 	? 	; 导出函数的起始序号
NumberOfFunctions	DWORD	?	; 导出函数的总数
NumberOfNames		DWORD 	?	; 以名称导出的函数总数
AddressOfFunctions	DWORD	?	; 指向导出函数地址表的RVA
AddressOfNames		DWORD 	?	; 指向函数名地址表的RVA
AddressOfNameOrdinals	DWORD	?	; 指向函数名序号表的RVA
IMAGE_EXPORT_DIRECTORY ends
在这里说下AddressOfFunctions、AddressOfNames和AddressOfNameOrdinals这三个成员的对应关系,比如说我们通过名称搜索MessageBoxA函数的地址, AddressOfNames的值是一个RVA数组,每个RVA加上模块基址就是实际的函数名称字符串地址,如果说MessageBoxA这个字符串在这个数组的索引位置0处, 而AddressOfNames和AddressOfNameOrdinals是对应的,用”MessageBoxA“字符串在AddressOfNames中的索引在AddressOfNameOrdinals指向的函数名序号表中取值,取出的序号值再用在AddressOfFunctions中用来取值,取得的RVA加上模块基址就是MessageBoxA函数的地址了。



下面的代码用来测试获取MessageBoxA函数的地址并调用

    .386  
    .model flat, stdcall  
    option casemap:none  
  
include windows.inc  
include user32.inc  
include kernel32.inc  
includelib user32.lib  
includelib kernel32.lib  
  
    .const  
szDllName   db 'user32.dll', 0  
szApiString db 'MessageBoxA', 0  
szText      db 'Get API Address Success!', 0  
szCaption   db 'Success', 0  
  
    .code  
_GetApiAddress proc _hDllHandle, _lpApiString  
      
    push ebp  
    mov eax, _hDllHandle    	; hModule  
    mov ecx, _lpApiString   	; lpApiString  
    mov ebx, eax        	; ebx = hModule  
    mov edi, ecx        	; edi = lpApiString  
    xor al, al  
;>>>>>>
最低0.47元/天 解锁文章

200万优质内容无限畅学
数据技术学习笔记(十三)—— HBase
hu_wei123的博客
03-19 2016
HBase 是一种分布式可扩展支持海量数据存储的NoSQL数据库,支持对大数据进行随机、实时的读/写访问。NoSQL数据库(非系型数据库)是一种不同于传统系型数据库数据库管理系统。它们使用灵活的数据模型,不遵循传统的表格系模式,而是采用键值对(如Redis)、文档型(如MongoDB)、列族存储(如HBase)、图形数据库(如Neo4j)等各种数据模型。非系型数据库主要用于存储处理大量分散的数据,具有高性能、高可扩展性高可用性的特点。
IT学习笔记--Flink
最新发布
xudasong123的博客
06-03 1468
Data Sources 就字面意思其实就可以知道:数据来源。Flink做为一款流式计算框架,它可用来做批处理,即处理静态的数据集、历史的数据集;也可以用来做流处理,即实时的处理些实时数据流,实时的产生数据流结果,只要数据源源不断的过来,Flink 就能够一直计算下去,这个 Data Sources 就是数据的来源地。Flink 中你可以使用 StreamExecutionEnvironment.addSource(sourceFunction) 来为你的程序添加数据来源。
快速查找API函数HASH
08-14
在漏洞利用,编写机器码时通过先将API函数hash之后来快速定位函数的绝对地址
Hash API
weixin_33719619的博客
12-13 201
#include <iostream> using namespace std; #define size 100 struct node{ int val; node *pre; node *next; }; int index = 0; node HashTable[size]; node HashPool[siz...
哈希查找~直接地址
weixin_43151932的博客
10-24 2123
HashAPI
weixin_30436891的博客
09-26 164
#include <stdio.h> #define SIZE 100000 typedef struct node{ int key; struct node* next; struct node* pre; }Node; Node HashTable[SIZE + 10]; Node HashPool[SIZE + 10]; int...
API地址专家 一个很实用的查找api地址的小工具
12-19
一个很实用的查找api地址的小工具,程序员必备
学习笔记】Webpack5(Ⅱ)
Eddie_hyh的博客
05-24 923
Webpack5(Ⅱ)
Cassandra学习笔记-基本特性API操作
PURSUE ONE PIECE
11-05 5701
Apache Cassandra是一套开源分布式Key-Value存储系统。它最初由Facebook开发,用于储存特别大的数据。 主要特性:分布式、基于column的结构化、高伸展性 Cassandra的主要特点就是它不是一个数据库,而是由一堆数据库节点共同构成的一个分布式网络服务,对Cassandra 的一个写操作,会被复制到其他节点上去,对Cassandra的读操作,也会被路由到某
Win7_64位动态查找API地址
06-05 289
#define _CRT_SECURE_NO_WARNINGS #include <stdio.h> #include <stdlib.h> #include <iostream> #include <windows.h> using namespace std; char shellcode[] = "\...
API函数地址.rar
04-06
API函数地址.rar
spring API扫描插件
bigNoseCat的博客
07-19 857
1. 简介 本项目是基于gamma的一个插件 gamma github csdn 本项目是用来扫描一个spring的项目中有多少个Api接口,然后收集 这个API接口的入参/出参信息统计后通过http发送给后端服务 项目地址: github 1.1 使用场景 在微服务背景下 服务之间有大量的RPC,那么当下游服务接口更变后没有及时通知 到对应的上游服务,就会导致上游接口报错 那是否可以在CI流水线中采集已经打包好的业务JAR的接口,然后把采集到的信息都统一交给一个服务储存,如果发现有服务的接口发生
hdu 4961 Boring Sum (思维 哈希 扫描)
weixin_30607029的博客
08-26 117
题目链接 题意:给你一个数组,让你生成两个新的数组,A要求每个数如果能在它的前面找个最近的一个是它倍数的数,那就变成那个数,否则是自己,C是往后找,输出交叉相乘的 分析: 这个题这种做法是O(n*sqrt(n))的复杂度,极限数据绝对会超时,但是这个题的数据有点水,所以可以过。 用vis【i】数组表示离数字 i 最近的倍数那个数在a【】中的位置,因为所有数字范围在1--100000所以...
通过Hash值计算API的名字【转贴】
小虎的空间
05-27 1303
通过Hash值计算API的名字2007-11-19 19:26标 题: 【原创】 通过Hash值计算API的名字作 者: marxixing时 间: 2007-11-19,17:39链 接: http://bbs.pediy.com/showthread.php?t=55187通过Hash值计算API的名字 2007.11.15 by marxixing@tom.com 在分析s
基于对so中的函数加密技术实现so加固
xiziyunqi的博客
09-12 887
一、技术原理这篇之前的那篇文章唯一的不同点就是如何找到指定的函数的偏移地址大小在so文件中,每个函数的结构描述是存放在.dynsym段中的。每个函数的名称保存在.dynstr段中的,类似于之前说过的每个section的名称都保存在.shstrtab段中,所以在前面的文章中我们找到指定段的时候,就是通过每个段的sh_name字段到.shstrtab中寻找名字即可,而且我们知道.shstrtab这个
汇编api函数地址获取
weixin_34109408的博客
12-30 1267
api函数地址获取 by Hume/冷雨飘心 这是一个老题目了,如果我们不用任何引入库,能否在程序中调用api函数?当然可以!方法有很多,你可能早就知道了,如果你已经了解了,就此打住,这是为还不了解这一技术而写.另外这也是病毒必用的技巧之一,如果你对病毒技术感兴趣,接着看下去. 这里假设...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值