精易论坛

标题: 跨进程获取指定32位进程中的DLL里的API函数地址 [打印本页]
作者: Canada    时间: 4 天前
标题: 跨进程获取指定32位进程中的DLL里的API函数地址
本帖最后由 Canada 于 2025-5-7 17:02 编辑
  
子程序名返回值类型公开备 注
GetProcAddressEx整数型 
参数名类 型参考可空数组备 注
进程句柄整数型目标进程句柄,通过打开进程获得 自身进程填写-1
模块句柄整数型已经装载到目标进程中的DLL动态链接库的模块句柄
函数名文本型
变量名类 型静态数组备 注
_局部1整数型 
_局部2整数型 
_局部3整数型 
_局部4整数型 
_局部5字节集 
_局部6整数型 
_局部7整数型 
_局部2 = VirtualAllocEx (进程句柄, 0, 取文本长度 (函数名), 4096, 4)
如果真 (_局部2 = 0)
返回 (0)
WriteProcessMemory_字节集 (进程句柄, _局部2, 到字节集 (函数名), 取文本长度 (函数名), 0)
_局部4 = GetProcAddress (GetModuleHandleA (“Kernel32”), “GetProcAddress”)
_局部5 = { 184 }到字节集 (_局部4){ 104 }到字节集 (_局部2){ 104 }到字节集 (模块句柄){ 255, 208, 195, 144 }
_局部3 = VirtualAllocEx (进程句柄, 0, 取字节集长度 (_局部5), 4096, 4)
如果真 (_局部3 = 0)
VirtualFreeEx (进程句柄, _局部2, 0, 32768)
返回 (0)
WriteProcessMemory_字节集 (进程句柄, _局部3, _局部5, 取字节集长度 (_局部5), 0)
_局部6 = CreateRemoteThread (进程句柄, 0, 0, _局部3, 0, 0, 0)
如果真 (_局部6 = 0)
VirtualFreeEx (进程句柄, _局部2, 0, 32768)
VirtualFreeEx (进程句柄, _局部3, 0, 32768)
返回 (0)
WaitForSingleObject (_局部6, 4294967295)
GetExitCodeThread (_局部6, _局部7)
VirtualFreeEx (进程句柄, _局部2, 0, 32768)
VirtualFreeEx (进程句柄, _局部3, 0, 32768)
CloseHandle (_局部6)
返回 (_局部7)


以上扣自某模块是可用的。后来又在网上搜到一份  blog.csdn.net/Sidyhe/article/details/8267021,让AI翻译加修改:
  
子程序名返回值类型公开备 注
GetProcAddressEx1整数型 
参数名类 型参考可空数组备 注
hProcess整数型
hModule整数型
函数名文本型
变量名类 型静态数组备 注
dosHeaderIMAGE_DOS_HEADER 
ntHeadersIMAGE_NT_HEADERS 
exportDirIMAGE_EXPORT_DIRECTORY 
addressOfFunctions整数型0
addressOfNames整数型0
addressOfOrdinals短整数型0
i整数型 
nameRva整数型 
funcName文本型 
exportRva整数型 
' 读取DOS头
如果真 (ReadProcessMemory_dosHeader (hProcess, hModule, dosHeader, 64, 0))  ' DOS头固定64字节
返回 (0)

' 调试输出 (“dosHeader.e_magic”, dosHeader.e_magic)  ' e_magic=0x5A4D=23117
 ' 读取NT头(偏移e_lfanew,大小248字节)
如果真 (ReadProcessMemory_ntHeaders (hProcess, hModule + dosHeader.e_lfanew, ntHeaders, 248, 0) = 0)
返回 (0)

' 获取导出表RVA(DataDirectory[0]的VirtualAddress)
exportRva = ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress
' 调试输出 (“exportRva”, exportRva)
 ' 读取导出表
如果真 (ReadProcessMemory_exportDir (hProcess, hModule + exportRva, exportDir, 40, 0) = 0)  ' IMAGE_EXPORT_DIRECTORY大小40字节
调试输出 (“读取导出表失败”)
返回 (0)

' 准备数组
 ' 调试输出 (exportDir.NumberOfFunctions, exportDir.NumberOfNames)
重定义数组 (addressOfFunctions, 假, exportDir.NumberOfFunctions)
重定义数组 (addressOfNames, 假, exportDir.NumberOfNames)
重定义数组 (addressOfOrdinals, 假, exportDir.NumberOfNames)
' 读取函数地址表
ReadProcessMemory_intarray (hProcess, hModule + exportDir.AddressOfFunctions, addressOfFunctions, exportDir.NumberOfFunctions × 4, 0)
' 读取名称表
ReadProcessMemory_intarray (hProcess, hModule + exportDir.AddressOfNames, addressOfNames, exportDir.NumberOfNames × 4, 0)
' 读取序号表
ReadProcessMemory_shortarray (hProcess, hModule + exportDir.AddressOfNameOrdinals, addressOfOrdinals, exportDir.NumberOfNames × 2, 0)
' 遍历名称表
计次循环首 (exportDir.NumberOfNames, i)
nameRva = addressOfNames [i]
funcName = 取空白文本 (取文本长度 (函数名))
如果真 (ReadProcessMemory_文本型 (hProcess, hModule + nameRva, funcName, 取文本长度 (函数名), 0))
调试输出 (“读取函数名失败”)
返回 (0)
' 调试输出 (“funcName”, funcName,“nameRva”, nameRva)
如果真 (funcName = 函数名)
返回 (hModule + addressOfFunctions [addressOfOrdinals [i] + 1])  ' 易语言数组从1开始

计次循环尾 ()
返回 (0)
子程序名返回值类型公开备 注
GetProcAddressEx2整数型 和GetProcAddressEx1一样的,只是练习一下读内存字节集的方式,数偏移
参数名类 型参考可空数组备 注
hProcess整数型
hModule整数型
函数名文本型
变量名类 型静态数组备 注
dosHeader字节集 
ntHeaders字节集 
exportDir字节集 
addressOfFunctions整数型0
addressOfNames整数型0
addressOfOrdinals短整数型0
i整数型 
nameRva整数型 
funcName文本型 
exportRva整数型 
numberOfNames整数型 
addressOfFunctionsRva整数型 
addressOfNamesRva整数型 
addressOfOrdinalsRva整数型 
' 读取DOS头
dosHeader = 取空白字节集 (64)
如果真 (ReadProcessMemory_Bin (hProcess, hModule, dosHeader, 64, 0) = 0)  ' DOS头固定64字节
返回 (0)
' 检查"MZ"签名
如果真 (取字节集数据 (dosHeader, #短整数型, 1) ≠ 23117)  ' e_magic=0x5A4D
调试输出 (“MZ签名错误”)
返回 (0)

' 读取NT头(偏移e_lfanew,大小248字节)
ntHeaders = 取空白字节集 (248)
如果真 (ReadProcessMemory_Bin (hProcess, hModule + 取字节集数据 (dosHeader, #整数型, 61), ntHeaders, 248, 0) = 0)
返回 (0)

' 获取导出表RVA(DataDirectory[0]的VirtualAddress)
exportRva = 取字节集数据 (ntHeaders, #整数型, 121)  ' ntHeaders.OptionalHeader.DataDirectory [1].VirtualAddress相对于ntHeaders的固定偏移120+1
 ' 调试输出 (“exportRva”, exportRva)
 ' 读取导出表
exportDir = 取空白字节集 (40)
如果真 (ReadProcessMemory_Bin (hProcess, hModule + exportRva, exportDir, 40, 0) = 0)  ' IMAGE_EXPORT_DIRECTORY大小40字节
调试输出 (“读取导出表失败”)
返回 (0)

numberOfNames = 取字节集数据 (exportDir, #整数型, 24 + 1)  ' NumberOfNames偏移24
addressOfFunctionsRva = 取字节集数据 (exportDir, #整数型, 28 + 1)  ' AddressOfFunctions偏移28
addressOfNamesRva = 取字节集数据 (exportDir, #整数型, 32 + 1)  ' AddressOfNames偏移32
addressOfOrdinalsRva = 取字节集数据 (exportDir, #整数型, 36 + 1)  ' AddressOfNameOrdinals偏移36
如果真 (numberOfNames ≤ 0)
调试输出 (“未读取到任何函数”)
返回 (0)

' 准备数组
重定义数组 (addressOfFunctions, 假, 取字节集数据 (exportDir, #整数型, 20 + 1))
重定义数组 (addressOfNames, 假, numberOfNames)
重定义数组 (addressOfOrdinals, 假, numberOfNames)
' 读取函数地址表
ReadProcessMemory_intarray (hProcess, hModule + addressOfFunctionsRva, addressOfFunctions, 取数组成员数 (addressOfFunctions) × 4, 0)
' 读取名称表
ReadProcessMemory_intarray (hProcess, hModule + addressOfNamesRva, addressOfNames, 取数组成员数 (addressOfNames) × 4, 0)
' 读取序号表
ReadProcessMemory_shortarray (hProcess, hModule + addressOfOrdinalsRva, addressOfOrdinals, 取数组成员数 (addressOfOrdinals) × 2, 0)
' 遍历名称表
计次循环首 (numberOfNames, i)
nameRva = addressOfNames [i]
funcName = 取空白文本 (取文本长度 (函数名))
如果真 (ReadProcessMemory_文本型 (hProcess, hModule + nameRva, funcName, 取文本长度 (函数名), 0))
调试输出 (“读取函数名失败”)
返回 (0)
' 调试输出 (“funcName”, funcName,“nameRva”, nameRva)
如果真 (funcName = 函数名)
返回 (hModule + addressOfFunctions [addressOfOrdinals [i] + 1])  ' 易语言数组从1开始

计次循环尾 ()
返回 (0)


i支持库列表   支持库注释   
spec特殊功能支持库

作者: 福仔    时间: 3 天前
取变量地址取的是变量在栈上的地址, 然后往栈里写了64个字节, 导致栈数据被破坏
douheader 这个变量地址是存在栈上的, 然而第一行拷贝就已经破坏了这个变量的地址
再访问这个变量就访问了不该访问的地址, 得看看模块的前4个字节转换出来是什么地址, 访问这个变量就是访问这个地址
正确的应该是取变量数据地址, 但是你这样的写法是能读到数据, 读出来的数据也是对的, 但是用doshead这个变量去访问成员得到的值都是错的
因为这个结构WORD类型多, 而在易语言里这个结构会被强制4字节对齐
想用易语言结构能正确的读取到, 那就应该多定义一个拷贝dll命令, 参数是DOS_HEADER 结构



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4