Windows获取模块基地址

获取模块基地址的几种方法
最新推荐文章于 2025-06-04 09:27:28 发布
原创 最新推荐文章于 2025-06-04 09:27:28 发布 · 8.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#模块 #基地址 #GetModuleHandleEx #VirtualQueryEx

博客介绍了获取模块基地址的几种方法,包括直接将模块句柄转换为基地址、根据模块中地址得到模块句柄作为基地址、用 GetModuleHandleEx 根据地址获取所属模块基地址、使用 VirtualQueryEx 函数以及根据进程和模块句柄获取基地址等,还提到 SymGetModuleInfoW64 运行失败。

 

获取模块的基地址有如下几种方法:

1. 模块句柄就是模块基地址(或称模块加载地址),直接将模块句柄转换为模块基地址

2. 根据模块中的地址得到模块句柄,模块句柄就是基地址
GetModuleHandleEx

3. 根据模块中的地址得到这个地址所属模块的基地址
但是 SymGetModuleInfoW64 总是运行失败

4. 使用 VirtualQueryEx 函数

5. 根据进程句柄和模块句柄得到模块的基地址
GetModuleInformation

代码如下

#include "stdafx.h"
#include <Windows.h>
#include <Psapi.h>
#include <dbghelp.h>
#include <string>
#pragma comment(lib, "Psapi.lib")
#pragma comment(lib, "Dbghelp.lib")

int _tmain(int argc, _TCHAR* argv[])
{
    // 1.
    printf("模块句柄就是模块基地址 : 0x%X\n", ::GetModuleHandle(L"kernel32.dll"));

    // 2.
    HMODULE hMoudle = nullptr;
    ::GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS, (LPCTSTR)&GetCurrentProcess, &hMoudle);
    printf("GetModuleHandleEx : 0x%X\n", hMoudle);
    
    // 3.
    IMAGEHLP_MODULEW64 im = {0};
    im.SizeOfStruct = sizeof(im);
    if (::SymGetModuleInfoW64(::GetCurrentProcess(), (DWORD64)&GetCurrentProcess, &im))
    {
        printf("SymGetModuleInfoW64 : 0x%X\n", im.BaseOfImage);
    }
    else
    {
        printf("SymGetModuleInfoW64 failed, LastError : %d\n", ::GetLastError());
    }

    // 4.
    MEMORY_BASIC_INFORMATION mbi;
    if (::VirtualQueryEx(::GetCurrentProcess(), (LPCVOID)&GetCurrentProcess, &mbi, sizeof(mbi)) != 0)
    {
        printf("VirtualQueryEx : 0x%X\n", mbi.AllocationBase);
    }
    else
    {
        printf("VirtualQueryEx failed, LastError : %d\n", ::GetLastError());
    }

    // 5.
    MODULEINFO moduleInfo;
    ::GetModuleInformation(::GetCurrentProcess(), ::GetModuleHandle(L"kernel32.dll"), &moduleInfo, sizeof(moduleInfo));
    printf("GetModuleInformation:0x%X\n", moduleInfo.lpBaseOfDll);

    getchar();
    return 0;
}

 

在C++中找到进程中所加载的某一模块基地址
qq_35320456的博客
02-27 2465
在C++中找到进程中所加载的某一模块基地址
C++实现获取模块在进程中地址
06-04
C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址
Psapi.h与Psapi.lib:掌握Windows进程与资源管理
最新发布
weixin_35636570的博客
06-04 848
Psapi库最初设计用于提供额外的系统信息,主要补充了Windows操作系统内置的进程和模块管理功能。它通过一系列的API函数,允许程序员获取进程加载的模块列表、模块的基本信息、进程内存使用情况等。是一个 Windows API 函数,用于获取系统中所有运行中的进程的标识符列表。每个进程都有一个唯一的进程标识符,这个标识符在进程的生命周期内是不变的。该函数对于系统监控、资源管理和调试等场景至关重要,因为它提供了一种可靠的方法来识别系统中活跃的进程。
易语言取模块基址
07-21
易语言取模块基址源码,取模块基址,取进程模块,读模块基址,十六转十进制,十转十六进制,wvsprintf,StrToIntEx
获取模块基址
weixin_50217210的博客
10-16 830
Windows 中,使用动态链接库(DLL)的函数通常通过在运行时获取函数的地址来调用。这个过程被称为 "API 动态解析"。
获取模块句柄/基址
ko999123的博客
11-12 9526
#include HMODULE h = GetModuleHandle(NULL);// 传入对应模块名,NULL表示取当前模块 PS:可在属性->链接->高级->基址:修改基址
易语言取模块基址源码-易语言
06-13
易语言取模块基址源码
5.3 Windows驱动开发:内核取应用层模块基址
优快云
11-21 5436
的基址,当在某些场景中,我们不仅需要得到内核的基地址,也需要得到特定进程内某个模块基地址,显然上篇文章中的方法是做不到的,本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。等结构体定义依然需要保留,此处只保留核心代码,定义部分请看前一篇文章,自定义读取模块基址核心代码如下,调用。如上就是如何得到特定模块基址的方法,如下是入口函数的调用方法,首先通过传入。中我们通过调用内核API函数获取到了内核进程。结构该结构可通过内核函数。这个PID号,得到进程。
php所有模块的基址,教大家获取程序的所有模块模块基址(附代码)
weixin_29682291的博客
03-20 362
Option ExplicitPrivate Declare Function EnumProcessModules Lib 'PSAPI.DLL' (ByVal hProcess As Long, hModule As Long, ByVal cb As Long, cbNeeded As Long) As LongPrivate Declare Function GetModuleBaseNa...
易语言模块基址获取
07-21
易语言模块基址获取源码,模块基址获取,GetModuleBaseAddress
C语言获取任意Windows程序模块基地址
热门推荐
钞sir的博客
06-04 2万+
我已无力接住你,再也不能抗风雨 函数 这里主要用到的函数是EnumProcessModulesEx: BOOL EnumProcessModulesEx( HANDLE hProcess, HMODULE *lphModule, DWORD cb, LPDWORD lpcbNeeded, DWORD dwFilterFlag ); hProcess表示处理的句柄; lphModule表示接收模块句柄列表的数组; cb表示lphModule数组的大小,以字节为单位; lpc.
易语言-易语言取模块基址
06-29
易语言取模块基址源码
易语言源码易语言模块基址获取源码.rar
03-31
易语言源码易语言模块基址获取源码.rar
获取模块.dll文件 基址+偏移的 助手6.0
08-10
获取模块.dll文件 基址+偏移的 助手6.0 例如:CE或者MD[+0053618]=“00653618”
VB获取模块地址(VB获取dll地址).rar
09-26
VB获取模块地址(VB获取dll地址).rar
驱动开发:内核取应用层模块基地址
优快云
10-09 1万+
的基址,当在某些场景中,我们不仅需要得到内核的基地址,也需要得到特定进程内某个模块基地址,显然上篇文章中的方法是做不到的,本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。等结构体定义依然需要保留,此处只保留核心代码,定义部分请看前一篇文章,自定义读取模块基址核心代码如下,调用。如上就是如何得到特定模块基址的方法,如下是入口函数的调用方法,首先通过传入。中我们通过调用内核API函数获取到了内核进程。结构该结构可通过内核函数。这个PID号,得到进程。
通过PEB获取模块基址
whatday的专栏
09-24 1502
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEB,PEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA PEB结构 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptio...
Python2与Python3 获取指定模块基址
Wrpzkb
05-14 1382
Python 获取指定模块基址在这篇文章里,我有一个问题,就是当我使用Python2时候,使用Module32First这个函数API就没报错,当使用Python3时候,就会出现参数错误,当时卡了很久。 直到后面研究才发现,是Python64位和32位的问题,所以不是代码问题,是版本问题,那就没办法了。 卸载64位,安装32位。 Python3 获取指定模块基址代码 # -*- coding:utf-8 -*- """ @author: @file: GetBaseAddr.py @time: 2020.
linux下获取模块基址,驱动学习十三(获取内核模块名和基址)
weixin_30303839的博客
05-13 665
#include "ntddk.h"#include typedef enum _SYSTEM_INFORMATION_CLASS{SystemModuleInformation = 11,} SYSTEM_INFORMATION_CLASS;typedef struct _SYSTEM_MODULE_INFORMATION{ULONG Reserved[2];PBYTE Base;ULONG S...
C++实现模块地址获取方法详解
// 获取模块基地址的函数 uintptr_t GetModuleBaseAddress(const wchar_t* moduleName, HANDLE processHandle) { HMODULE hModule = NULL; uintptr_t baseAddress = NULL; DWORD needed = 0; // 枚举进程模块 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值