CE找到基址模块，用C语言怎么获取到这个模块-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
寻她梦雪币： 498 活跃值： (251) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	寻她梦 2021-2-9 09:17 2 楼 0 菜鸟思路通过进程快照得到进程模块地址加上偏移最后于 2021-2-9 09:18 被寻她梦编辑，原因：
舒默哦雪币： 2958 活跃值： (4831) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2021-2-9 11:55 3 楼 0 LPCVOID getLoadAddress( DWORD dwProcessId ) { HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION \| PROCESS_VM_OPERATION \| PROCESS_VM_READ \| PROCESS_VM_WRITE, 0, dwProcessId); HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll ")); if (NULL == hModule) return NULL; PROCESS_BASIC_INFORMATION pbi = {0}; NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess"); LONG status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, (PVOID)&pbi, sizeof(PROCESS_BASIC_INFORMATION), NULL); if (NULL != hModule) FreeLibrary(hModule); if (NULL != hProcess) CloseHandle(hProcess); return pbi.PebBaseAddress->Reserved3[1]; }
千音丶雪币： 9163 活跃值： (2849) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 28 粉丝 6 关注私信	千音丶 2021-2-9 13:41 4 楼 0 如果是注入的方式的话，你要取这个模块直接用LoadLibrary函数即可，如果是远程的话参考我写的这个函数即可 //获得进程指定模块句柄参数：进程pid，模块名 DWORD GetModule(DWORD pid, LPBYTE ModuleName) { MODULEENTRY32 me32; me32.dwSize = sizeof(MODULEENTRY32); //在使用这个结构前，先设置它的大小 HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid); //HANDLE也是属于句柄，是通用句柄，HWND是窗口句柄 if (hModuleSnap == INVALID_HANDLE_VALUE) //INVALID_HANDLE_VALUE表示无效的句柄 { return 0; } BOOL bMore = Module32First(hModuleSnap, &me32); //获取第一个模块信息 char* name = NULL; char temp_dest[MAX_PATH] = { 0 }; //用来存放遍历模块转换大写的结果 char temp_results[MAX_PATH] = { 0 }; //用来存放要查询模块的大写结果 Conversion_Big((char*)ModuleName, temp_results); //转换大写 while (bMore) { USES_CONVERSION; name = W2A(me32.szExePath); Conversion_Big(name, temp_dest); if ( strstr(temp_dest, temp_results) != NULL) { CloseHandle(hModuleSnap); return (DWORD)me32.modBaseAddr; } bMore = Module32Next(hModuleSnap, &me32); } CloseHandle(hModuleSnap); return 0; }
ffggddss 雪币： 2726 活跃值： (1110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 1 关注私信	ffggddss 2021-2-9 14:16 5 楼 0 API EnumProcessModules 直接可以遍历进程内的所有模块句柄,GetModuleFileNameEx 获取模块路径
wx_python_215 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 1 关注私信	wx_python_215 2021-2-9 17:20 6 楼 0 ffggddss API EnumProcessModules 直接可以遍历进程内的所有模块句柄,GetModuleFileNameEx 获取模块路径感谢老哥的帮助
wx_python_215 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 1 关注私信	wx_python_215 2021-2-9 17:21 7 楼 0 千音丶如果是注入的方式的话，你要取这个模块直接用LoadLibrary函数即可，如果是远程的话参考我写的这个函数即可//获得进程指定模块句柄  参数：进程pid，模块名 ... 感谢老哥的帮助
wx_python_215 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 1 关注私信	wx_python_215 2021-2-9 17:21 8 楼 0 舒默哦 LPCVOID getLoadAddress( DWORD dwProcessId ) { HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMA ... 感谢老哥的帮助
wx_python_215 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 1 关注私信	wx_python_215 2021-2-9 17:21 9 楼 0 寻她梦菜鸟思路通过进程快照得到进程模块地址加上偏移感谢老哥的帮助
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

寻她梦

雪币： 498

活跃值： (251)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

18

粉丝

0

关注

私信

寻她梦 2021-2-9 09:17: 2 楼
0

菜鸟思路

通过进程快照得到进程模块地址加上偏移

最后于 2021-2-9 09:18 被寻她梦编辑，原因：

舒默哦

雪币： 2958

活跃值： (4831)

能力值：

( LV5，RANK：60 )

在线值：

发帖

5

回帖

148

粉丝

59

关注

私信

舒默哦 1 2021-2-9 11:55: 3 楼
0

LPCVOID getLoadAddress( DWORD dwProcessId )
{
HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE, 0, dwProcessId);

HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll "));
if (NULL == hModule)
return NULL;

PROCESS_BASIC_INFORMATION pbi = {0};
NtQueryInformationProcessPtr NtQueryInformationProcess = (NtQueryInformationProcessPtr)GetProcAddress(hModule, "NtQueryInformationProcess");
LONG status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, (PVOID)&pbi, sizeof(PROCESS_BASIC_INFORMATION), NULL);
if (NULL != hModule)
FreeLibrary(hModule);

if (NULL != hProcess)
CloseHandle(hProcess);

return pbi.PebBaseAddress->Reserved3[1];
}

千音丶

雪币： 9163

活跃值： (2849)

能力值：

( LV3，RANK：30 )

在线值：

发帖

2

回帖

28

粉丝

6

关注

私信

千音丶 2021-2-9 13:41: 4 楼
0

如果是注入的方式的话，你要取这个模块直接用LoadLibrary函数即可，如果是远程的话参考我写的这个函数即可

//获得进程指定模块句柄  参数：进程pid，模块名
DWORD GetModule(DWORD pid, LPBYTE ModuleName)
{
 MODULEENTRY32 me32;
 me32.dwSize = sizeof(MODULEENTRY32); //在使用这个结构前，先设置它的大小
 HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid); //HANDLE也是属于句柄，是通用句柄  ，HWND是窗口句柄
 if (hModuleSnap == INVALID_HANDLE_VALUE)     //INVALID_HANDLE_VALUE表示无效的句柄
 {
  return 0;
 }
 BOOL bMore = Module32First(hModuleSnap, &me32);  //获取第一个模块信息
 char* name = NULL;
 char temp_dest[MAX_PATH] = { 0 };  //用来存放遍历模块转换大写的结果
 char temp_results[MAX_PATH] = { 0 }; //用来存放要查询模块的大写结果
 Conversion_Big((char*)ModuleName, temp_results);  //转换大写
 while (bMore)
 {
  USES_CONVERSION;
  name = W2A(me32.szExePath);
  Conversion_Big(name, temp_dest);
  if ( strstr(temp_dest, temp_results) != NULL)
  {
   CloseHandle(hModuleSnap);
   return  (DWORD)me32.modBaseAddr;
  }
  bMore = Module32Next(hModuleSnap, &me32);
 }
 CloseHandle(hModuleSnap);
 return 0;

}