取得导入表模块

最新推荐文章于 2023-09-25 11:27:00 发布
转载 最新推荐文章于 2023-09-25 11:27:00 发布 · 606 阅读 · 0
文章标签:

#descriptor #import #linker #null #include #image

本文通过C++示例代码介绍了如何枚举Windows进程中所有模块,并解析每个模块的导入表,获取导入的DLL文件名及函数名。适用于逆向工程、系统监控等场景。
#include "windows.h"

#include "iostream.h"

#include "Dbghelp.h"

#include "Psapi.h"

#pragma comment(lib,"Psapi.lib")
#pragma comment(lib,"Dbghelp.lib")
#pragma comment(linker, "/subsystem:console")
#define SizeOfArray 32//枚举模块的数组大小

HMODULE hModuleArray[SizeOfArray]={0};//定义了枚举模块数组
DWORD dwNeed;
int main()
{
    ULONG size;
    if(!EnumProcessModules(GetCurrentProcess(),hModuleArray,SizeOfArray,&dwNeed)) {cout<<"fail to enum modules"<<endl; return 0;}
    int i=0;//上一句为枚举当前进程中的模块
    while(hModuleArray[i])
    {
        PIMAGE_IMPORT_DESCRIPTOR pImport=(PIMAGE_IMPORT_DESCRIPTOR)ImageDirectoryEntryToData((HINSTANCE)hModuleArray[i],true,IMAGE_DIRECTORY_ENTRY_IMPORT,&size);
        //上一句为获得导入表
        if (pImport==NULL) {cout<<endl;break;}
        
        while (pImport->Name)//根据导入表来循环得到导入模块和导入函数
        {
            cout<<"模块名称:"<<(PSTR)((PBYTE)hModuleArray[i]+pImport->Name)<<endl;
            
            PIMAGE_THUNK_DATA pThunk =(PIMAGE_THUNK_DATA) ((PBYTE)hModuleArray[i]+pImport->OriginalFirstThunk);//IAT
            //在一个模块下获得第一个Thunk
            if (pThunk==NULL) break;
            while(pThunk->u1.Function)
            {
                cout<<"      导入函数:"<<(LPSTR)((PBYTE)hModuleArray[i]+(DWORD)pThunk->u1.AddressOfData+2)<<endl;//前两个为导入符号。导入函数的名称在之后所以加上2
                pThunk++;
            }
            
            pImport++;
        }
        i++;
    }
    MessageBox(NULL, "aa", "bb", MB_OK);
    return 0;
}
导入结构复习 导入模块,函数名称,地址遍历
Catch me if you can
05-03 2225
关于PE结构导入,以前只是手动分析,没有通过编程来实现。而且PE文件结构,不巩固的话,一段时间之后就会忘记,所以记录下这次试验,为IAT挂钩做好准备,也算是复习一下。测试环境:windows xp sp3
《Windows核心编程》读书笔记二十二章 DLL注入和API拦截
sesiria的博客
12-18 2650
第22章  DLL注入和API拦截 本章内容 22.1 DLL注入的一个例子 22.2 使用注册来注入DLL 22.3 使用Windows挂钩来注入DLL 22.4 使用远程线程来注入DLL 22.5 使用木马DLL来注入DLL 22.6 把DLL作为调试器来注入 22.7 使用CreateProcess来注入代码 22.8 API拦截的例子 通常在操作系统中
获取PE文件的导入
04-02
获取PE文件的导入模块和API信息的源代码
注入(二):修改导入(c++)
零点起步
04-14 1560
导入注入:修改游戏EXE依赖dll树上找个结点,程序运行前加载,加载修改回导入。  优:游戏依赖库多,不易用完整性来查验,同时客户端版本不同,更易躲过检测  缺点:文件操作明显,易被ProcessMonitor检测到 //BeModeImportTableExe.exe void main(void) { int i = 0; while(true) { __asm{ mo
python中模块的__all__属性
快递小可的博客
10-24 2万+
python中模块的__all__属性
您可以直接导入模块_You can import this module directly.zip
09-01
TensorRT_yolo3_module-master通常会包含一些预处理和后处理的代码,以便用户可以直接导入模块并开始使用YOLOv3模型。预处理代码用于将输入数据转换为模型可以处理的格式,而后处理代码则用于解释模型的输出,生成...
【Python】使用exec来导入相对路径下的模块
weixin_44733774的博客
09-07 1140
用exec来执行相对导入语句
Python 源码解读 之 模块导入系统
zlhwd的博客
09-25 1016
通过源码彻底搞懂 Python 的模块导入系统
详谈commonjs模块与es6模块的区别
10-19
- CommonJS使用module.exports或exports关键字导出模块,通过require方法导入模块。 - ES6使用export和import关键字分别导出和导入模块。 2. 模块加载行为: - CommonJS在require调用时同步执行模块代码,并将其...
精易vip模块帮助文档_v4.30版.zip
01-08
3. **使用教程**:通过实例教程,指导用户如何配置和使用VIP模块,包括新建项目、导入模块、设置参数、调试运行等步骤,让初学者也能快速上手。 4. **API参考**:提供了详尽的API接口文档,包括函数、类和方法的...
12.PE文件之导入(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 6472
目录 导入定位以及解析(手动FileBuffer) 导入定位以及解析(手动ImageBuffer) 代码定位导入并打印其数据 导入注入 导入是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
读取PE文件的导入
weixin_34220963的博客
09-08 490
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入通常位于 .ida...
PE文件结构详解(四)PE导入
热门推荐
evil.eagle的专栏
10-07 3万+
也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORTIMAGE_DIRECTORY_ENTRY_BOUND_IMPORTIMAGE_DIRECTORY_ENTRY_IAT和IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT这几个导入都是用来干什么的,他们之间又是什么关系呢?听我慢慢道来。
API挂接
cleverd
04-21 2826
  在阅读这篇文章之前,你可能要先阅读http://www.codeproject.com/system/inject2exe.asp#PortableExecutablefileformat2和http://blog.youkuaiyun.com/XXKKFF/archive/2007/03/06/1522632.aspx下面这段代码是一个动态链接库的源码,它用于挂接MessageBoxW的调用
python导入模块顺序
weixin_41621686的博客
12-25 809
导入模块,导入函数,导入
东风第一枝
07-23 1138
from random import randint    # 导入random模块的randint函数 from random import *      #导入random模块的所有函数 import 模块名(文件名)                          import game akl = 模块名.类名( 传入参数 )              akl.game.Class...
基于最优剪枝深度优先搜索算法实现二维空间障碍物规避与最短路径规划的可视化系统_三维空间路径规划竞赛项目二维化实现障碍物智能规避路径折弯夹角约束满足起点至终点最短路径计算算法.zip
最新发布
12-05
基于最优剪枝深度优先搜索算法实现二维空间障碍物规避与最短路径规划的可视化系统_三维空间路径规划竞赛项目二维化实现障碍物智能规避路径折弯夹角约束满足起点至终点最短路径计算算法.zip
软件工具Notepad系列文本编辑器安装配置指南:Windows系统记事本与Notepad++下载使用全流程解析
12-05
内容概要:本文详细介绍了Windows自带记事本(Notepad)和功能增强型文本编辑器Notepad++的下载、安装、配置及使用方法。重点讲解了Notepad++的官方下载渠道、安装步骤(包括安装版与便携版)、首次使用时的语言与编码设置、插件安装、主题优化以及特色功能如多标签编辑、语法高亮、搜索替换和宏录制等。同时提供了常见问题解决方案,并对比了Notepad++与其他主流编辑器(如VS Code、Sublime Text等)的功能差异,给出了不同使用场景下的选择建议。; 适合人群:需要进行简单文本编辑或代码编写的初学者、程序员及IT技术人员,尤其适合希望提升编辑效率的办公人员和开发者;; 使用场景及目标:①快速安装并配置Notepad++用于编程和文本处理;②解决中文乱码、右键菜单缺失、插件安装失败等问题;③根据实际需求选择合适的文本编辑工具;④实现便携式编辑环境搭建; 阅读建议:建议按照文档顺序逐步操作,优先从官网下载软件以确保安全,安装过程中注意选项勾选,首次使用时应完成基本配置以优化体验,同时可结合插件扩展功能,提升工作效率。
AI 代码审查Review工具(附部署方式指南和源代码)
12-05
AI 代码审查Review工具 是一个旨在自动化代码审查流程的工具。它通过集成版本控制系统(如 GitHub 和 GitLab)的 Webhook,利用大型语言模型(LLM)对代码变更进行分析,并将审查意见反馈到相应的 Pull Request 或 Merge Request 中。此外,它还支持将审查结果通知到企业微信等通讯工具。 一个基于 LLM 的自动化代码审查助手。通过 GitHub/GitLab Webhook 监听 PR/MR 变更,调用 AI 分析代码,并将审查意见自动评论到 PR/MR,同时支持多种通知渠道。 主要功能 多平台支持: 集成 GitHub 和 GitLab Webhook,监听 Pull Request / Merge Request 事件。 智能审查模式: 详细审查 (/github_webhook, /gitlab_webhook): AI 对每个变更文件进行分析,旨在找出具体问题。审查意见会以结构化的形式(例如,定位到特定代码行、问题分类、严重程度、分析和建议)逐条评论到 PR/MR。AI 模型会输出 JSON 格式的分析结果,系统再将其转换为多条独立的评论。 通用审查 (/github_webhook_general, /gitlab_webhook_general): AI 对每个变更文件进行整体性分析,并为每个文件生成一个 Markdown 格式的总结性评论。 自动化流程: 自动将 AI 审查意见(详细模式下为多条,通用模式下为每个文件一条)发布到 PR/MR。 在所有文件审查完毕后,自动在 PR/MR 中发布一条总结性评论。 即便 AI 未发现任何值得报告的问题,也会发布相应的友好提示和总结评论。 异步处理审查任务,快速响应 Webhook。 通过 Redis 防止对同一 Commit 的重复审查。 灵活配置: 通过环境变量设置基
易语言模块实现文件行数统计功能
根据提供的文件信息,文件的标题、描述、标签以及压缩包内的文件名称均指向了一个核心概念——易语言模块用于取得文件的行数。下面将详细介绍这一知识点。 ### 易语言模块取文件行数概念解析 易语言是一种简单易学...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值