WinAPI: GetProcAddress 自实现

最新推荐文章于 2023-09-04 09:25:59 发布
原创 最新推荐文章于 2023-09-04 09:25:59 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#winapi #api

本文档展示了如何使用汇编语言实现一个与系统API GetProcAddress功能类似的GetAPIAddr函数,该函数通过检查PE文件格式并遍历导出表来查找指定API的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

;***************************************************************************************** 
;const void* __stdcall GetAPIAddr(const void* hModule,const char* lpszProcName) 
;等价于 const void* __stdcall GetProcAddress(const void* hModule,const char* lpszProcName) 
;***************************************************************************************** 
GetAPIAddr: 
    push ebp
    mov ebp,esp
    pushad
    mov ebx,[ebp+8] 
    mov esi,[ebp+12] 
 
    ;检查是否是有效的 PE 文件格式 
    cmp word [ebx], 'MZ' 
    jne .NoExportTable  ;是不是有效的 PE 文件 
    mov eax, [ebx + 3CH] 
    add eax, ebx  ;eax = PE Header 
    cmp dword [eax], 00004550H ;PE/0/0 
    jne .NoExportTable 
 
    ;搜索需要的 API 地址 
    mov edx, [eax + 04H + 14H + 60H] 
    test edx, edx 
    jz .NoExportTable  ;没有输出表
 
    add edx, ebx  ;计算输出表位置 
    ;NumberOfFunctions 
    mov ecx, [edx + 18H] 
    ;AddressOfNames 
    mov eax, [edx + 20H]       
    add eax, ebx 
    ;AddressOfFunctions 
    mov ebp, [edx + 1CH] 
    add ebp, ebx 
    ;AddressOfNameOrdinals 
    mov edx, [edx + 24H] 
    add edx, ebx 
    dec ecx 
    cld 
    push eax 
    xor eax, eax
 
.GetAPIAddress: 
    inc eax 
    cmp byte [esi + eax], 0 
    jne .GetAPIAddress 
    ;dec eax 
    xchg eax, [esp] 
 
    push esi   ;[esp] = esi;[esp + 4] = strlen(lpszProcName) 
    .FindNextExportFunction: 
    mov edi, [eax + ecx * 4] 
    add edi, ebx  ;edi = API NAME 
           
    push ecx 
    mov ecx, [esp + 4 + 4] 
    repz cmpsb 
    jnz .3_GetAPIAddress 
    test ecx, ecx 
    jnz .3_GetAPIAddress
 
    ;找到匹配的字符串 
    pop ecx 
    movzx ecx, word [edx + ecx * 2] 
    mov eax, [ebp + ecx * 4] 
    add eax, ebx  ;eax = API ADDRESS 
    mov [esp + 32 - 4 + 8], eax ;返回值 
    jmp .4_GetAPIAddress
 
.3_GetAPIAddress: 
    pop ecx 
    mov esi, [esp] 
    dec ecx 
    jns .FindNextExportFunction
 
.4_GetAPIAddress: 
    pop ebx 
    pop ebx
 
.NoExportTable: 
    popad 
    leave 
    ret 4*2 

自己实现GetProcAddress 实战中方便抹掉导入表 自己重建IAT让别人看不到符号
ADADQDQQ的博客
07-15 424
根据导出表实现:GetProcAddress 注意:如果最后出现得函数地址>模块基址+导入表.VirtualAddress得话 则该地址是个字符串 字符串里面有dll和函数名 因为他是个转发地址 需要再调用GetProcAddress去进行获取 GetProcAddress(模块,序号-Base) 1.DWORD dwAddress=(DWORD)AddressOfFunctions[序号]+模块基址; GetProcAddress(模块,名称) 1.遍历(!strcmp(AddressOfName[
自己实现GetProcAddress
liuhaidon1992的博客
06-12 985
DWORD MyGetProcAddress( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // function name ) { int i=0; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_E..
自实现getprocaddress(名称查找或者序号查找)
bring_coco的博客
08-29 1109
那么这里来总结下,总共四步骤1.导出表2.导出函数名称表3.导出函数名称序号表4.导出函数地址表/*WINBASEAPI //导出不需要使用,那么我们注释掉*/FARPROCWINAPI//NT头//导出表项,获得RVA RVA并不是真正的导出表项需要转VA,转VA需要加上image_base(也就是加载地址)//导出表//这个才是真正的VA,真正的导出表项,因为RVA在内存中是没有的*///导出函数名称表//导出函数名称序号表//导出函数地址表。
1.15 自实现GetProcAddress
最新发布
优快云
09-04 1万+
在正常情况下,要想使用`GetProcAddress`函数,需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址,接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址,但在有时这个函数会被保护起来,导致我们无法直接调用该函数获取到特定函数的内存地址,此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数,该功能的实现需要依赖于`PEB`线程环境块,通过线程环境块可遍历出`k
【Windows API学习】GetProcAddress学习
dongyue786的专栏
08-30 792
显式链接到 DLL 的进程调用 GetProcAddress 来获取 DLL 导出函数的地址。 使用返回的函数指针调用 DLL 函数。 GetProcAddress 将(由 LoadLibrary、AfxLoadLibrary 或GetModuleHandle 返回的)DLL 模块句柄和要调用的函数名或函数的导出序号用作参数。 由于是通过指针调用 DLL 函数并且没有编译时类
typedef void (WINAPI *pfRTLGETNTVERSIONNUMBERS)(DWORD*, DWORD*, DWORD*); pfRTLGETNTVERSIONNUMBERS pfRtlGetNtVersionNumbers; pfRtlGetNtVersionNumbers = (pfRTLGETNTVERSIONNUMBERS)::GetProcAddress(hModNtdll, "RtlGetNtVersionNumbers");
03-24
GetProcAddress 函数用于获取指定 DLL 中指定函数的地址。在这里,我们获取了 ntdll.dll 中的 RtlGetNtVersionNumbers 函数的地址,并将其赋值给 pfRtlGetNtVersionNumbers 变量。这样,我们就可以通过调用 ...
WinAPI技巧:恶意软件使用或滥用的各种WINAPI技巧功能的集合
03-04
- `GetProcAddress`:动态查找API,使得恶意代码更难以静态分析。 对这些WinAPI技巧的理解和识别是进行恶意软件分析的关键。通过对恶意软件行为的深入研究,安全专家可以开发出更有效的防御策略和反制措施。同时,...
if (hModNtdll = ::LoadLibraryW(L"ntdll.dll")) { typedef void (WINAPI *pfRTLGETNTVERSIONNUMBERS)(DWORD*, DWORD*, DWORD*); pfRTLGETNTVERSIONNUMBERS pfRtlGetNtVersionNumbers; pfRtlGetNtVersionNumbers = (pfRTLGETNTVERSIONNUMBERS)::GetProcAddress(hModNtdll, "RtlGetNtVersionNumbers"); if (pfRtlGetNtVersionNumbers) { pfRtlGetNtVersionNumbers(&dwMajorVer, &dwMinorVer, &dwBuildNumber); dwBuildNumber &= 0x0ffff; bRet = TRUE; } ::FreeLibrary(hModNtdll); hModNtdll = NULL; }
03-24
这段代码的作用是获取当前 Windows 的版本号,其中 LoadLibraryW 函数用于加载 ntdll.dll 动态链接库,GetProcAddress 函数用于获取 RtlGetNtVersionNumbers 函数的地址,RtlGetNtVersionNumbers 函数用于获取 ...
WinAPI查询_winapi_winAPI常用函数总结_
10-02
5. **GetProcAddress**: 这个函数用于从已加载的库中获取特定函数的地址,是使用DLL导出函数的关键。 6. **CreateProcess**: 创建新的进程和主线程,是执行新程序的核心函数。 7. **PostMessage/SendMessage**: `...
winAPI.rar_winapi
09-20
开发者可以通过它们实现与操作系统底层的直接交互,实现更为复杂和高效的功能。例如,CreateProcess函数可以用来启动新的进程,GetModuleHandle和GetProcAddress则用于动态链接库(DLL)的加载和函数查找,这对于...
Windows API GetProcAddress 及demo code
Wanda && Aidem
04-05 1545
GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址。   函数原型:   FARPROC GetProcAddress(   HMODULE hModule, // DLL模块句柄   LPCSTR lpProcName // 函数名   );  参数:  hModule   [in] 包含此函数的DLL模块的句柄。L
GetProcAddress 实现
x
07-29 386
没用的C代码 根据导出表查找函数名 #define _CRT_SECURE_NO_WARNINGS #include <Windows.h> #include <iostream> using std::cout; using std::endl; void * getExportApi(DWORD base_addr ,const char * api_name) { if (0 == base_addr || 0 == api_name) return 0;
实现GetProcAddress
XboxMicro
10-01 1883
标 题: 【原创】完美实现GetProcAddress 作 者: blueapplez 时 间: 2010-09-27,22:11:13 链 接: http://bbs.pediy.com/showthread.php?t=121226 // 本文系转载,代码中的部分注释是我学习中写的,通过作者的探索,让我了解了更多的关于GetProcAddress函数的细节,再次对前人的探索以及无私
完美实现自己的GetProcAddress函数
关注互联网安全的小虾米一枚
07-28 5103
作 者: blueapplez 我们知道kernel32.dll里有一个GetProcAddress函数,可以找到模块中的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress( IN HMODULE hModule, IN LPCSTR lpProcName ); hModule 是模块的句柄,说白了就是内存中dl
完美实现GetProcAddress
weixin_34395205的博客
12-17 799
2019独角兽企业重金招聘Python工程师标准>>> ...
[Windows编程] 使用API函数GetProcAddress的注意事项
weixin_34265814的博客
04-15 341
Windows API 函数 GetProcAddress 被广泛用于取得函数指针地址。 例如: typedef BOOL (WINAPI *pfnGetProductInfo)(DWORD, DWORD, DWORD, DWORD, PDWORD); pGPI = (pfnGetProductInfo) GetProcAddress(GetModuleHandleW(L"kernel32.d...
【原创】完美实现GetProcAddress [文字模式]
weixin_34191845的博客
04-19 365
2019独角兽企业重金招聘Python工程师标准>>> ...
GetProcAddress 使用注意事项
热门推荐
生命不息, 战斗不止!
08-12 2万+
使用 GetProcAddress Function 时,有以下几点需要特别留意: 1. 第二个参数类型是 LPCSTR,不是 LPCTSTR; 2. 用 __declspec(dllexport),按 C 名称修饰(extern "C") 导出的函数名,对于 __std
使用汇编代码获取GetProcAddress函数地址的大致步骤(面试题系列)
ATree的博客
01-23 2626
1、首先通过FS寄存器获取到TEB的地址 2、在TEB偏移为0x30处的成员是PEB 3、PEB偏移为0xC处的成员是PEB_LDR_DATA结构体指针 4、PEB_LDR_DATA结构体偏移为0x1C处成员为InInitializationOrderModuleList,初始化模块链表,这个成员保存的是模块链表的头部地址。 5、通过InInitializationOrderModuleL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值