VC PE导出/输入表演示(进程版)

最新推荐文章于 2019-12-16 16:01:16 发布
原创 最新推荐文章于 2019-12-16 16:01:16 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#descriptor #image #null #header #dos #basic

本文介绍了一个用于读取Windows进程中导出表和导入表信息的C++程序。该程序通过调用NtQueryInformationProcess函数获取指定进程的基本信息,并进一步读取其内存中的PE文件结构来解析导出表和导入表。此工具对于逆向工程和调试非常有用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// GetProcessTable.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include "windows.h"
#include "stdio.h"

typedef LONG NTSTATUS;
#define STATUS_SUCCESS (0)
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
typedef struct _PROCESS_BASIC_INFORMATION
{
    PVOID Reserved1;
    //PPEB PebBaseAddress;
 ULONG PebBaseAddress;
    PVOID Reserved2[2];
    ULONG UniqueProcessId;
    PVOID Reserved3;
} PROCESS_BASIC_INFORMATION,*PPROCESS_BASIC_INFORMATION;;

typedef NTSTATUS
(WINAPI *NTQUERYINFORMATIONPROCESS)(
 HANDLE ProcessHandle,
 ULONG ProcessInformationClass,
 PVOID ProcessInformation,
 ULONG ProcessInformationLength,
 PULONG ReturnLength
);
NTQUERYINFORMATIONPROCESS NtQueryInformationProcess;

VOID PrintImportTable(DWORD dwProcessId);
VOID PrintExportTable(DWORD dwProcessId);
LPSTR GetProcessPath(DWORD dwProcessId);

ULONG muBase=0;

int main(int argc, char* argv[])
{
 HMODULE hMod = LoadLibrary("ntdll.dll");
 if (argc==1)
  return 0;
 NtQueryInformationProcess = (NTQUERYINFORMATIONPROCESS)GetProcAddress(hMod,"NtQueryInformationProcess");
 FreeLibrary(hMod);
 printf("进程路径是:%s/n/n",GetProcessPath(atoi(argv[1])));
 printf("导出表信息:/n/n");
 PrintExportTable(atoi(argv[1]));
 printf("/n");
 printf("----------------------------------------------/n/n");
 printf("输入表信息:/n/n");
 PrintImportTable(atoi(argv[1]));
 return 0;
}


LPSTR GetProcessPath(DWORD dwProcessId)
{
 DWORD dwAddr=0;
 WCHAR strPath[260];
 char strTmp[260];
 PPROCESS_BASIC_INFORMATION pInfo=(PPROCESS_BASIC_INFORMATION)new BYTE[sizeof(PROCESS_BASIC_INFORMATION)];
 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);
 if (!hProcess)
  return "";
 if (NtQueryInformationProcess(hProcess,0,pInfo,sizeof(PROCESS_BASIC_INFORMATION),NULL)>=0)
 {
  ReadProcessMemory(hProcess,(PVOID)(pInfo->PebBaseAddress + 0xC),&dwAddr,4,NULL);
  ReadProcessMemory(hProcess,(PVOID)(dwAddr + 0xC), &dwAddr, 4, NULL);
  ReadProcessMemory(hProcess,(PVOID)(dwAddr + 0x18), &muBase, 4, NULL);
  //printf("模块基地址是:0x%x",muBase);
        ReadProcessMemory(hProcess,(PVOID)(dwAddr + 0x28), &dwAddr, 4, NULL);
        ReadProcessMemory(hProcess,(PVOID)dwAddr, strPath, sizeof(strPath), NULL);
  //printf("模块路径是:%S",strPath);
  sprintf(strTmp,"%S",strPath);
  CloseHandle(hProcess);
  return &strTmp[0];
 }
 CloseHandle(hProcess);
 return "";
}

VOID PrintImportTable(DWORD dwProcessId)
{
 PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)new BYTE[sizeof(IMAGE_DOS_HEADER)];
 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)new BYTE[sizeof(IMAGE_NT_HEADERS)];
 PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)new BYTE[sizeof(IMAGE_IMPORT_DESCRIPTOR)];
 PIMAGE_THUNK_DATA pThunk=(PIMAGE_THUNK_DATA)new BYTE[sizeof(IMAGE_THUNK_DATA)];
 DWORD dwStup=0,dwStup1=0;
 char strName[130];
 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);
 if (!hProcess)
  return ;
 //获取IMAGE_DOS_HEADER
 ReadProcessMemory(hProcess,(PVOID)muBase, pDosHeader, sizeof(IMAGE_DOS_HEADER), NULL);
 //获取IMAGE_NT_HEADERS
 ReadProcessMemory(hProcess,(PVOID)(muBase + pDosHeader->e_lfanew), pNtHeaders, sizeof(IMAGE_NT_HEADERS), NULL); 
 while (TRUE)
 {
  //获取IMAGE_IMPORT_DESCRIPTOR
  ReadProcessMemory(hProcess,(PVOID)(muBase + pNtHeaders->OptionalHeader.DataDirectory[1].VirtualAddress + dwStup * sizeof(IMAGE_IMPORT_DESCRIPTOR)), pImport, sizeof(IMAGE_IMPORT_DESCRIPTOR), NULL);
  if (pImport->OriginalFirstThunk==0 && pImport->FirstThunk==0) break;
  ReadProcessMemory(hProcess,(PVOID)(muBase + pImport->Name), strName, sizeof(strName), NULL);
  printf("模块:%s/n",strName);
  dwStup1=0;
  do
  {
   if (pImport->OriginalFirstThunk!=0)
    ReadProcessMemory(hProcess,(PVOID)(muBase + pImport->OriginalFirstThunk + dwStup1 * 4), pThunk, sizeof(IMAGE_THUNK_DATA), NULL);
   else
    ReadProcessMemory(hProcess,(PVOID)(muBase + pImport->FirstThunk + dwStup1 * 4), pThunk, sizeof(IMAGE_THUNK_DATA), NULL);
   if (pThunk->u1.AddressOfData==0) break;
   memset(strName,0,130);
   ReadProcessMemory(hProcess,(PVOID)(muBase + (ULONG)pThunk->u1.AddressOfData->Name), strName, sizeof(strName), NULL);
   printf("/t函数:%s/n",strName);
   dwStup1++;
  } while (pThunk->u1.AddressOfData!=0);
  dwStup++;
 };
 delete []pDosHeader;
 delete []pImport;
 delete []pNtHeaders;
 delete []pThunk;
 CloseHandle(hProcess);
}

VOID PrintExportTable(DWORD dwProcessId)
{
 PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)new BYTE[sizeof(IMAGE_DOS_HEADER)];
 PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)new BYTE[sizeof(IMAGE_NT_HEADERS)];
 PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)new BYTE[sizeof(IMAGE_EXPORT_DIRECTORY)];
 DWORD dwStup=0,dwOffset=0;
 char strName[130];
 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcessId);
 if (!hProcess)
  return ;
 //获取IMAGE_DOS_HEADER
 ReadProcessMemory(hProcess,(PVOID)muBase, pDosHeader, sizeof(IMAGE_DOS_HEADER), NULL);
 //获取IMAGE_NT_HEADERS
 ReadProcessMemory(hProcess,(PVOID)(muBase + pDosHeader->e_lfanew), pNtHeaders, sizeof(IMAGE_NT_HEADERS), NULL); 
 if (pNtHeaders->OptionalHeader.DataDirectory[0].VirtualAddress==0)
 {
  printf("没有导出表信息!!/n");
  return ;
 }
 ReadProcessMemory(hProcess,(PVOID)(muBase + pNtHeaders->OptionalHeader.DataDirectory[0].VirtualAddress), pExport, sizeof(IMAGE_EXPORT_DIRECTORY), NULL);
 ReadProcessMemory(hProcess,(PVOID)(muBase + pExport->Name), strName, sizeof(strName), NULL); 
 printf("模块:%s/n",strName);
 ULONG uStup=0;
 do
 {
  ReadProcessMemory(hProcess,(PVOID)(muBase + pExport->AddressOfNames + uStup * sizeof(uStup)), &dwOffset, sizeof(dwOffset), NULL);
  if (dwOffset==0) break;
  ReadProcessMemory(hProcess,(PVOID)(muBase + dwOffset), &dwOffset, sizeof(dwOffset), NULL);
  if (dwOffset==0) break;
  memset(strName,0,130);
  ReadProcessMemory(hProcess,(PVOID)(muBase + dwOffset), strName, sizeof(strName), NULL);
  printf("/t函数:%s/n",strName);
  uStup ++;
 } while (dwOffset!=0);
 delete []pDosHeader;
 delete []pExport;
 delete []pNtHeaders;
 CloseHandle(hProcess);

VC 解析PE导出 导入
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出,导入
VC PE导出/输入表演(文件影射)
chenhui530的专栏
12-30 2929
此程序为VCPE导出/输入表演程序,大家可以体会一下VC与VB的不同之处.// GetPeInfo.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "windows.h"#include "stdio.h"typedef PVOID(WINAPI *IM
WindowsPE 第五章 导出编程-1(枚举导出
天使也掉毛
12-06 895
导出编程 枚举导出
C++ 获取 PE 文件导出
LYSM
12-16 1256
// 内存偏移转文件偏移 int rva_to_raw(PIMAGE_SECTION_HEADER pSection,int nSectionNum,int nRva) { int nRet = 0; // 遍历节区 for (int i=0;i<nSectionNum;i++){ // 导出地址在这个节区内 if (pSection[i].VirtualAddress &...
PE文件输入获取过程
enyblock的专栏
08-01 3481
1.    首先给出这个PE文件的一些16进制代码 dos头的最后一个变量给出PE头的地址:000000E0,由于import table 的数据目录项相对PE头的偏移为80h,故输入的数据目录项在文件中的偏移为00000160 查看00000160偏移地址所对应的内容,前四个字节, 0000C7AC为IMAGE_IMPORT_DESCRIPTOR在内存中的RVA,此时,我
PE文件修改学习:VC源码例解析
- 使用源码进行PE修改的步骤:按照源码提供的逻辑,逐步演如何使用VC项目修改PE文件。 - 效果测试和验证:介绍如何测试修改后的PE文件的正确性和稳定性,以及如何验证修改效果。 此份VC源码作为学习PE文件修改...
PE文件感染 VC6.0 源码 PE结构
02-15
在IT领域,特别是软件开发和安全分析中,"PE文件感染 VC6.0 源码 PE结构"是一个重要的主题。PE(Portable Executable)文件是Windows操作系统中的可执行文件格式,而VC6.0是Microsoft Visual C++ 6.0的简称,是一款...
远程代码/进程注入和重定位
04-08
在C++中,这通常涉及对重定位的处理,需要精确地理解PE(Portable Executable)文件格式,以便正确地更新节区头部和导出/导入。 文件"Remote-Code-Process-Injection-and-Relocation.pdf"很可能详细介绍了这些...
VC++ 获取任意DLL/EXE文件属性信息
03-17
通过使用PELib,你可以轻松地访问文件的导出、导入等信息。 最后,提供的压缩包"okbase.net"可能包含了一个例程序或源代码,演了如何在VC++中实现上述功能。这个小的程序可以编译运行,帮助开发者直观地...
vc++编程进行PE格式检测
01-17
6. **检查数据目录**:通过可选头中的数据目录入口,访问并解析PE文件的特定部分,如导入和导出。 7. **验证结构完整性**:确保所有指针和地址都正确无误,没有损坏或非法值。 8. **实现功能**:根据需求,可以...
改写PE文件导入加载DLL
03-18
通过改写PE文件的导入段,实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名,以及由该DLL所导出的,PE文件中所用到的函数信息。
PE文件导入解析(C++)
05-01
C++实现PE文件的导出的解析操作,希望对大家有所帮助。
PE文件导入解析
做一个快乐学习者
05-31 368
#include <Windows.h> #include <iostream> #include <string> #include <fstream> #include <memory> using namespace std; int rva_to_file(PIMAGE_SECTION_HEADER pSection,int...
PE导入输入)学习笔记
tzwj1983的博客
03-19 549
导入结构及部分关键代码
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
打印 PE导入导出
weixin_33766168的博客
04-17 818
#include<Windows.h> #include<iostream> #include<stdio.h> #include<stdlib.h> #include<commdlg.h> using namespace std; DWORD dwFileSize; BYTE* g_pFileImageBase = 0; PIMAGE...
获得PE文件输入和输出
dasgk的专栏
09-02 1905
#include #include #include#pragma comment(lib,"imagehlp.lib")using namespace std;int main(){ char* strExePath="C:\\Windows\\System32\\kernel32.dll"; //打开文件 HANDLE hFile=::CreateFile(strExePath,GENERIC
VC中将数据导出到Excel格中
心中有道的专栏
07-21 5764
由于项目需要,要把数据库中的数据导出生成excel格,
PE文件结构(三) 输入
billvsme的专栏
10-03 4607
PE文件结构(三) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输入 输入函数,被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入(导入)就是用来保存这些函数的信息的。 在 IMAGE_OPT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值