[原创]搜索输出表取得GetProcAddress地址C++版-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]搜索输出表取得GetProcAddress地址C++版

发表于: 2010-3-20 12:50 9922

[原创]搜索输出表取得GetProcAddress地址C++版

不问年少

2010-3-20 12:50

9922

看到某些病毒用到的技术从Kernel32.dll中取GetProcAddress地址，想半天没想明白，为什么要里面有一个*4呢？原来是DWORD长度的指针偏移，我晕！
自己用C++实现一下，加深一下理解，同时方便那些还有些不明白的同学，嘿嘿

这里直接用GetModuleHandle获取，方便的话也能直接从PEB中取得，但这里主要是了解病毒中取GetProcAddress地址的原理，所以直接偷懒了（下面是原码及运行结果）：

#include "stdafx.h"
#include <windows.h>

void main(){
PIMAGE_DOS_HEADER pDosHeader;
PIMAGE_NT_HEADERS pNtHeader;
PIMAGE_EXPORT_DIRECTORY pExportDirectory;

HMODULE hMod = GetModuleHandle("kernel32.dll");
pDosHeader = (PIMAGE_DOS_HEADER)hMod;
pNtHeader = (PIMAGE_NT_HEADERS)((PBYTE)hMod + pDosHeader->e_lfanew);
pExportDirectory = PIMAGE_EXPORT_DIRECTORY(pNtHeader->OptionalHeader.DataDirectory[0].VirtualAddress + (PBYTE)hMod);

PDWORD pAddressName = PDWORD((PBYTE)hMod+pExportDirectory->AddressOfNames); //函数名称表指针
PWORD pAddressOfNameOrdinals = (PWORD)((PBYTE)hMod+pExportDirectory->AddressOfNameOrdinals); //函数名称序号表指针
PDWORD pAddresOfFunction = (PDWORD)((PBYTE)hMod+pExportDirectory->AddressOfFunctions);  //函数地址表指针

for (DWORD i = 0; i < pExportDirectory->NumberOfNames; i ++){
PCHAR pFunc = (PCHAR)((PBYTE)hMod + *pAddressName++);
printf("%s\r\n", pFunc);
if (0 == strcmp(pFunc, "GetProcAddress"))
break;
pAddressOfNameOrdinals++;  //ENT和函数名序号数组两个并行数组同时滑动指针(序号数组中的序号就对应函数名对应的函数地址的数组索引)
}
printf("function ordinal is: %02x and address is %08x ! \r\n",
pExportDirectory->Base + *pAddressOfNameOrdinals, //函数的序号＝函数名序号数组中的值+Base
(PBYTE)hMod + pAddresOfFunction[*pAddressOfNameOrdinals]); //函数地址＝EAT[序号表中的值]
DWORD x = (DWORD)GetProcAddress;  //直接获取的地址
printf("directly aquire address is %08x\r\n", x);
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

a.jpg （71.72kb，309次下载）

收藏・5

免费・7

支持

最新回复 (15)
qiyewenjie 雪币： 13 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	qiyewenjie 2 楼正在学习中啊 2010-3-20 13:07 0
qiyewenjie 雪币： 13 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	qiyewenjie 3 楼希望有一天能看懂嘿嘿 2010-3-20 13:07 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 4 楼其实不难，因为好多说明都是汇编版的，比较晦涩。所以自己用C++实现一下加深下理解，同时为那些苦寻C++版的人提供一份参考，呵呵！ 2010-3-20 13:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼效率太低~~二分吧 2010-3-20 13:55 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 6 楼恳请楼上的拿出一个高效的……- 2010-3-20 14:01 0
寒冰心结雪币： 8211 活跃值： (2801) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 7 楼上网老用手机上.贴一个这代码估计他这月该欠费了替他贴一个(还是他写的) DWORD myGetProcAddress(DWORD hModule,char FuncName) { DWORD retAddr=0; DWORD namerav,funrav; DWORD cnt=0; DWORD maxIndex,minIndex,temp,lasttemp; WORD nameOrdinal; WORD nIndex=0; int cmpresult=0; char ModuleBase=(char)hModule; PIMAGE_DOS_HEADER pDosHeader; PIMAGE_FILE_HEADER pFileHeader; PIMAGE_OPTIONAL_HEADER pOptHeader; PIMAGE_EXPORT_DIRECTORY pExportDir; if (hModule==0) { return 0; } pDosHeader=(PIMAGE_DOS_HEADER)ModuleBase; pFileHeader=(PIMAGE_FILE_HEADER)(ModuleBase+pDosHeader->e_lfanew+4); pOptHeader=(PIMAGE_OPTIONAL_HEADER)((char)pFileHeader+sizeof(IMAGE_FILE_HEADER)); pExportDir=(PIMAGE_EXPORT_DIRECTORY)(ModuleBase+pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); namerav=(DWORD)(ModuleBase+pExportDir->AddressOfNames); funrav=(DWORD)(ModuleBase+pExportDir->AddressOfFunctions); nameOrdinal=(WORD)(ModuleBase+pExportDir->AddressOfNameOrdinals); if ((DWORD)FuncName<0x0000FFFF) { retAddr=(DWORD)(ModuleBase+funrav[(WORD)FuncName]); } else { maxIndex=pExportDir->NumberOfFunctions; minIndex=0; lasttemp=0; while (1) { temp=(maxIndex+minIndex)/2; if (temp==lasttemp) { //Not Found! retAddr=0; break; } cmpresult=strcmp(FuncName,ModuleBase+namerav[temp]); if (cmpresult<0) { maxIndex=lasttemp=temp; } else if (cmpresult>0) { minIndex=lasttemp=temp; } else { nIndex=nameOrdinal[temp]; retAddr=(DWORD)(ModuleBase+funrav[nIndex]); break; } } } return retAddr; } 2010-3-20 14:11 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 8 楼原来所谓的二分就是“二分查找”法啊嗯，不错……这效率比较好。每次发布点东西都会感觉有点进步，这种感觉是非常好的 2010-3-20 14:24 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼原来写的这个函数有点小BUG，下面这句要改一下： maxIndex=pExportDir->NumberOfFunctions; 改成 maxIndex=pExportDir->NumberOfNames; 否则如果有按序数导出的函数，就会出现崩溃。。。 2010-3-20 18:40 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 10 楼要改的可不止这一处 2010-3-20 20:34 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 11 楼还得判断指针在不在输出表范围如果不在就递归 2010-3-20 20:37 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 12 楼试试获取getlasterr 2010-3-20 20:39 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 13 楼晕，不能一句话说完啊……，那还可以试试SEH，ExitThread等呢，呵呵 2010-3-20 22:24 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 14 楼你试一下能不能正确获取getlasterr的地址就知道我说的有错没错了。 2010-3-20 22:32 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 15 楼我还真试了一下，不仅能获取，而且很正确……输出表操作方式。 ========================================================== 直接通过函数名取的地址 == 用GetProcAddress(GetModuleHandle("Kernel32.dll"), "GetLastError")取得的地址，这个地址与上面的操作输出表得到的地址不一样，反而有误！嗯。为什么呢？上传的附件： a.jpg （63.93kb，235次下载） b.JPG （50.54kb，233次下载） 2010-3-21 00:16 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 16 楼自己动手解决了，通过编程用地址反推函数名，原来GetLastError指向的地址是位于ntdll中：名为 RtlGetNativeSystemInformation …… 原来Kernel32.dll中的GetLastError是调用RtlGetNativeSystemInformation ，这才是其真身结论：事实证明，直接用函数指针的话实际指向的是RtlGetNativeSystemInformation 这个函数地址，而用输出表的话得到的是Kernel32.dll中GetLastError的真实地址。上传的附件： C.JPG （21.57kb，88次下载） 2010-3-21 01:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不问年少

发帖

586

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
qiyewenjie 雪币： 13 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	qiyewenjie 2 楼正在学习中啊 2010-3-20 13:07 0
qiyewenjie 雪币： 13 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 72 粉丝 0 关注私信	qiyewenjie 3 楼希望有一天能看懂嘿嘿 2010-3-20 13:07 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 4 楼其实不难，因为好多说明都是汇编版的，比较晦涩。所以自己用C++实现一下加深下理解，同时为那些苦寻C++版的人提供一份参考，呵呵！ 2010-3-20 13:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼效率太低~~二分吧 2010-3-20 13:55 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 6 楼恳请楼上的拿出一个高效的……- 2010-3-20 14:01 0
寒冰心结雪币： 8211 活跃值： (2801) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 7 楼上网老用手机上.贴一个这代码估计他这月该欠费了替他贴一个(还是他写的) DWORD myGetProcAddress(DWORD hModule,char FuncName) { DWORD retAddr=0; DWORD namerav,funrav; DWORD cnt=0; DWORD maxIndex,minIndex,temp,lasttemp; WORD nameOrdinal; WORD nIndex=0; int cmpresult=0; char ModuleBase=(char)hModule; PIMAGE_DOS_HEADER pDosHeader; PIMAGE_FILE_HEADER pFileHeader; PIMAGE_OPTIONAL_HEADER pOptHeader; PIMAGE_EXPORT_DIRECTORY pExportDir; if (hModule==0) { return 0; } pDosHeader=(PIMAGE_DOS_HEADER)ModuleBase; pFileHeader=(PIMAGE_FILE_HEADER)(ModuleBase+pDosHeader->e_lfanew+4); pOptHeader=(PIMAGE_OPTIONAL_HEADER)((char)pFileHeader+sizeof(IMAGE_FILE_HEADER)); pExportDir=(PIMAGE_EXPORT_DIRECTORY)(ModuleBase+pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); namerav=(DWORD)(ModuleBase+pExportDir->AddressOfNames); funrav=(DWORD)(ModuleBase+pExportDir->AddressOfFunctions); nameOrdinal=(WORD)(ModuleBase+pExportDir->AddressOfNameOrdinals); if ((DWORD)FuncName<0x0000FFFF) { retAddr=(DWORD)(ModuleBase+funrav[(WORD)FuncName]); } else { maxIndex=pExportDir->NumberOfFunctions; minIndex=0; lasttemp=0; while (1) { temp=(maxIndex+minIndex)/2; if (temp==lasttemp) { //Not Found! retAddr=0; break; } cmpresult=strcmp(FuncName,ModuleBase+namerav[temp]); if (cmpresult<0) { maxIndex=lasttemp=temp; } else if (cmpresult>0) { minIndex=lasttemp=temp; } else { nIndex=nameOrdinal[temp]; retAddr=(DWORD)(ModuleBase+funrav[nIndex]); break; } } } return retAddr; } 2010-3-20 14:11 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 8 楼原来所谓的二分就是“二分查找”法啊嗯，不错……这效率比较好。每次发布点东西都会感觉有点进步，这种感觉是非常好的 2010-3-20 14:24 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼原来写的这个函数有点小BUG，下面这句要改一下： maxIndex=pExportDir->NumberOfFunctions; 改成 maxIndex=pExportDir->NumberOfNames; 否则如果有按序数导出的函数，就会出现崩溃。。。 2010-3-20 18:40 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 10 楼要改的可不止这一处 2010-3-20 20:34 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 11 楼还得判断指针在不在输出表范围如果不在就递归 2010-3-20 20:37 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 12 楼试试获取getlasterr 2010-3-20 20:39 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 13 楼晕，不能一句话说完啊……，那还可以试试SEH，ExitThread等呢，呵呵 2010-3-20 22:24 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 14 楼你试一下能不能正确获取getlasterr的地址就知道我说的有错没错了。 2010-3-20 22:32 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 15 楼我还真试了一下，不仅能获取，而且很正确……输出表操作方式。 ========================================================== 直接通过函数名取的地址 == 用GetProcAddress(GetModuleHandle("Kernel32.dll"), "GetLastError")取得的地址，这个地址与上面的操作输出表得到的地址不一样，反而有误！嗯。为什么呢？上传的附件： a.jpg （63.93kb，235次下载） b.JPG （50.54kb，233次下载） 2010-3-21 00:16 0
不问年少雪币： 1074 活跃值： (160) 能力值： ( LV13，RANK：760 ) 在线值：发帖 63 回帖 586 粉丝 3 关注私信	不问年少 15 16 楼自己动手解决了，通过编程用地址反推函数名，原来GetLastError指向的地址是位于ntdll中：名为 RtlGetNativeSystemInformation …… 原来Kernel32.dll中的GetLastError是调用RtlGetNativeSystemInformation ，这才是其真身结论：事实证明，直接用函数指针的话实际指向的是RtlGetNativeSystemInformation 这个函数地址，而用输出表的话得到的是Kernel32.dll中GetLastError的真实地址。上传的附件： C.JPG （21.57kb，88次下载） 2010-3-21 01:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复