[原创]告别硬编码-发个获取未导出函数地址的Dll及源码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]告别硬编码-发个获取未导出函数地址的Dll及源码

发表于: 2013-7-2 15:45 43066

[原创]告别硬编码-发个获取未导出函数地址的Dll及源码

organic

2013-7-2 15:45

43066

查看主题内容

收藏・113

免费・5

支持

最新回复 (49) ◀ 1 2
zhczf 雪币： 10845 活跃值： (17236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 26 楼暂时看不懂哦，先支持了再说啊 2013-7-3 16:52 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 27 楼同问这样都可加精? msdn上关于dbghelp的资料不少吧? 2013-7-3 17:04 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 28 楼我正在找这资料你就发了。。。。。。怎么这样呢 2013-7-3 19:48 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 29 楼 mark 之 2013-7-3 20:02 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 30 楼 mark 2013-7-4 09:06 0
七天chn 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	七天chn 31 楼 mark 2013-7-4 11:05 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 32 楼 [QUOTE=organic;1194444]还在为找内核未导出函数地址而苦恼嘛？还在为硬编码通用性差而不爽吗？还在为暴搜内核老蓝屏而痛苦吗？请看这里：赶脚楼主以前做广告的啊。 2013-7-4 11:23 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 33 楼求拜师。。。 2013-7-19 15:15 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 34 楼 Make 备用 2013-8-14 09:39 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 35 楼 WPE就用到了这个方法 2013-8-14 15:26 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 36 楼在我这SymEnumSymbols可用,Win7 64位.贴个C++的版本 #include "stdafx.h" #include <Windows.h> #include <imagehlp.h> #include <locale.h> #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc( PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext ) { printf( "函数名: %s\r\n地址: %08X \r\n\r\n", pSymInfo->Name, pSymInfo->Address ); return TRUE; } char* UnicodeToAnsi( const wchar_t* szStr, char* szDest ) { int nLen = WideCharToMultiByte( CP_ACP, 0, szStr, -1, NULL, 0, NULL, NULL ); if ( nLen == 0 ) { return NULL; } char* pResult = new char[nLen]; WideCharToMultiByte( CP_ACP, 0, szStr, -1, pResult, nLen, NULL, NULL ); strcpy( szDest, pResult ); delete pResult; return szDest; } BOOL GetSymbol( LPCTSTR FileName ) { HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId() ); CloseHandle( hProcess ); if ( !SymInitialize( hProcess, NULL, FALSE ) ) { return FALSE; } DWORD dwOpt = SymGetOptions(); SymSetOptions( dwOpt \| SYMOPT_DEFERRED_LOADS \| SYMOPT_UNDNAME \| SYMOPT_CASE_INSENSITIVE ); char sFileName[MAX_PATH] = {0}; UnicodeToAnsi( FileName, sFileName ); DWORD64 dwSymModule = SymLoadModuleEx( hProcess, NULL, sFileName, NULL, 0, 0, NULL, 0 ); if ( 0 == dwSymModule ) { SymCleanup( hProcess ); return -1; } if ( !SymEnumSymbols( hProcess, dwSymModule, 0, ( PSYM_ENUMERATESYMBOLS_CALLBACK )CallBackProc, NULL ) ) { SymCleanup( hProcess ); return -1; } return SymCleanup( hProcess ); } int _tmain( int argc, _TCHAR* argv[] ) { const TCHAR* sDllPath = _T( "C:\\Windows\\System32\\WS2_32.DLL" ); if ( !GetSymbol( sDllPath ) ) { return -1; } getchar(); return 0; } 2013-8-14 16:59 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 37 楼 mark 2013-8-16 09:09 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 38 楼 http://msdn.microsoft.com/zh-cn/library/ms679291.aspx 2013-8-28 00:26 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 39 楼不错，可以看看 2013-11-12 18:44 0
Dlnn 雪币： 40 活跃值： (627) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 1 关注私信	Dlnn 40 楼 getcurrentprocess返回的不是id么 2013-11-12 22:18 0
天下皆白雪币： 105 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	天下皆白 1 41 楼。。符号。。。。。支持，符号要网络支持。。追求效率的人儿可以略过。。。哈 2013-11-14 16:38 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 42 楼 mark 2013-11-14 16:41 0
有点恶心雪币： 10 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	有点恶心 43 楼占楼占楼,暴力抗拆 2013-12-12 23:16 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 44 楼谢谢很不错 2013-12-12 23:46 0
zyqloveldm 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	zyqloveldm 45 楼 mark,mark~ 2013-12-22 20:27 0
星之陨雪币： 7 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	星之陨 46 楼我按照你的方法用C++写了一个最后卡在SymGetSymFromName GetLastError找不到模块！ 2014-6-27 17:36 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 47 楼好东西，留着以后用 2014-10-25 15:15 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 48 楼联网获取符号文件并解析 2014-10-25 15:36 0
binsys 雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 49 楼我想起了DIA，不过是RING3的COM的东西。 2014-10-26 15:11 0
習生雪币： 141 活跃值： (54) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 99 粉丝 3 关注私信	習生 1 50 楼先mark，以备后用 2014-10-27 18:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

organic

发帖

105

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
zhczf 雪币： 10845 活跃值： (17236) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 26 楼暂时看不懂哦，先支持了再说啊 2013-7-3 16:52 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 27 楼同问这样都可加精? msdn上关于dbghelp的资料不少吧? 2013-7-3 17:04 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 28 楼我正在找这资料你就发了。。。。。。怎么这样呢 2013-7-3 19:48 0
lwykj 雪币： 870 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 29 楼 mark 之 2013-7-3 20:02 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 30 楼 mark 2013-7-4 09:06 0
七天chn 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	七天chn 31 楼 mark 2013-7-4 11:05 0
libocdf 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 297 粉丝 0 关注私信	libocdf 32 楼 [QUOTE=organic;1194444]还在为找内核未导出函数地址而苦恼嘛？还在为硬编码通用性差而不爽吗？还在为暴搜内核老蓝屏而痛苦吗？请看这里：赶脚楼主以前做广告的啊。 2013-7-4 11:23 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 33 楼求拜师。。。 2013-7-19 15:15 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 34 楼 Make 备用 2013-8-14 09:39 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 35 楼 WPE就用到了这个方法 2013-8-14 15:26 0
ZSYL 雪币： 16 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 36 楼在我这SymEnumSymbols可用,Win7 64位.贴个C++的版本 #include "stdafx.h" #include <Windows.h> #include <imagehlp.h> #include <locale.h> #pragma comment(lib,"DbgHelp.lib") BOOL CALLBACK CallBackProc( PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext ) { printf( "函数名: %s\r\n地址: %08X \r\n\r\n", pSymInfo->Name, pSymInfo->Address ); return TRUE; } char* UnicodeToAnsi( const wchar_t* szStr, char* szDest ) { int nLen = WideCharToMultiByte( CP_ACP, 0, szStr, -1, NULL, 0, NULL, NULL ); if ( nLen == 0 ) { return NULL; } char* pResult = new char[nLen]; WideCharToMultiByte( CP_ACP, 0, szStr, -1, pResult, nLen, NULL, NULL ); strcpy( szDest, pResult ); delete pResult; return szDest; } BOOL GetSymbol( LPCTSTR FileName ) { HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId() ); CloseHandle( hProcess ); if ( !SymInitialize( hProcess, NULL, FALSE ) ) { return FALSE; } DWORD dwOpt = SymGetOptions(); SymSetOptions( dwOpt \| SYMOPT_DEFERRED_LOADS \| SYMOPT_UNDNAME \| SYMOPT_CASE_INSENSITIVE ); char sFileName[MAX_PATH] = {0}; UnicodeToAnsi( FileName, sFileName ); DWORD64 dwSymModule = SymLoadModuleEx( hProcess, NULL, sFileName, NULL, 0, 0, NULL, 0 ); if ( 0 == dwSymModule ) { SymCleanup( hProcess ); return -1; } if ( !SymEnumSymbols( hProcess, dwSymModule, 0, ( PSYM_ENUMERATESYMBOLS_CALLBACK )CallBackProc, NULL ) ) { SymCleanup( hProcess ); return -1; } return SymCleanup( hProcess ); } int _tmain( int argc, _TCHAR* argv[] ) { const TCHAR* sDllPath = _T( "C:\\Windows\\System32\\WS2_32.DLL" ); if ( !GetSymbol( sDllPath ) ) { return -1; } getchar(); return 0; } 2013-8-14 16:59 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 37 楼 mark 2013-8-16 09:09 0
狼行绝路雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 97 粉丝 0 关注私信	狼行绝路 38 楼 http://msdn.microsoft.com/zh-cn/library/ms679291.aspx 2013-8-28 00:26 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 39 楼不错，可以看看 2013-11-12 18:44 0
Dlnn 雪币： 40 活跃值： (627) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 71 粉丝 1 关注私信	Dlnn 40 楼 getcurrentprocess返回的不是id么 2013-11-12 22:18 0
天下皆白雪币： 105 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	天下皆白 1 41 楼。。符号。。。。。支持，符号要网络支持。。追求效率的人儿可以略过。。。哈 2013-11-14 16:38 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 42 楼 mark 2013-11-14 16:41 0
有点恶心雪币： 10 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	有点恶心 43 楼占楼占楼,暴力抗拆 2013-12-12 23:16 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 44 楼谢谢很不错 2013-12-12 23:46 0
zyqloveldm 雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	zyqloveldm 45 楼 mark,mark~ 2013-12-22 20:27 0
星之陨雪币： 7 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	星之陨 46 楼我按照你的方法用C++写了一个最后卡在SymGetSymFromName GetLastError找不到模块！ 2014-6-27 17:36 0
acyoulu 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	acyoulu 47 楼好东西，留着以后用 2014-10-25 15:15 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 48 楼联网获取符号文件并解析 2014-10-25 15:36 0
binsys 雪币： 158 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	binsys 49 楼我想起了DIA，不过是RING3的COM的东西。 2014-10-26 15:11 0
習生雪币： 141 活跃值： (54) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 99 粉丝 3 关注私信	習生 1 50 楼先mark，以备后用 2014-10-27 18:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复