个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我遇到的问题如下:
badboy 代码行:
HMODULE handle = (HMODULE)pLoadLibraryA((LPCSTR)(codeBase + importDesc->Name));
这是很好的输出,但它缺少以下功能:(ijl11.dll 和 libcef.dll)
我已经尝试过:
如果我将 HMODULE 句柄设为“全局”,输出良好,但缺少两个 dll 的输出。
如果我将 HMODULE 句柄设置为“函数本地”,则输出良好,但缺少两个 dll。
如果我将 HMODULE 句柄设置为“for 循环本地”,则输出良好,但缺少两个 dll。
<小时/>badboy 代码行:
static HMODULE handle = (HMODULE)pLoadLibraryA((LPCSTR)(codeBase + importDesc->Name));
“静态”输出为我提供了两个缺失的 dll 函数。
问题:为什么使用 static 会给出两个缺失的 dll 函数的输出?虽然使用非静态不会给我正确的输出。
另外,为什么两种方法的使用加在一起当然会给出我想要的输出?
到目前为止我的结论是: handle 有问题。
但是使用非静态给了我很好的输出,而使用静态给了我垃圾输出,但给了我两个缺失的 dll 导入函数的输出。
我不明白。有人可以解释一下吗?
代码:
// Custom Module Struct
typedef struct
{
PIMAGE_NT_HEADERS NT_Headers;
unsigned char *codeBase;
HMODULE *modules;
int numModules;
int initialized;
} MEMORYMODULE, *PMEMORYMODULE;
//HMODULE handle;
int BuildImportTable(PMEMORYMODULE module)
{
int result = 1;
//HMODULE handle;
unsigned char *codeBase = module->codeBase;
PIMAGE_DATA_DIRECTORY directory = GET_HEADER_DICTIONARY(module, IMAGE_DIRECTORY_ENTRY_IMPORT);
printf("Directory Size: %d\n", directory->Size);
if (directory->Size > 0)
{
PIMAGE_IMPORT_DESCRIPTOR importDesc = (PIMAGE_IMPORT_DESCRIPTOR)(codeBase + directory->VirtualAddress);
// Check Each Import Descriptor
for (; !pIsBadReadPtr(importDesc, sizeof(IMAGE_IMPORT_DESCRIPTOR)) && importDesc->Name; importDesc++) {
// loop scope
PIMAGE_THUNK_DATA thunkILT;
PIMAGE_THUNK_DATA thunkIAT;
// Load Each Library By Name
printf("\n\n\n[BuildImportTable]: Trying To Load: %s\n", codeBase + importDesc->Name);
static HMODULE handle = (HMODULE)pLoadLibraryA((LPCSTR)(codeBase + importDesc->Name));
if (handle != NULL){
printf("[BuildImportTable]: Loaded: %s\n", codeBase + importDesc->Name);
}
if (handle == INVALID_HANDLE_VALUE) {
result = 0;
printf("[BuildImportTable]: Handle NULL\n");
break;
}
//// Build Out Module Structure Members
//HMODULE *p = (HMODULE*)MemRealloc( module->modules, (module->numModules + 1) * ( sizeof(HMODULE) ) );
//module->modules = p;
//if (module->modules == NULL) {
// result = 0;
// printf("[BuildImportTable]: Modules NULL\n");
// break;
//}
//// Store Allocated Library
//module->modules[module->numModules++] = handle; // Load Library Handle
// OriginalFirstThunk - Names are stored in ILT.
if ( importDesc->OriginalFirstThunk ) {
// Get RVA of the Import Lookup Table (ILT)
thunkILT = (PIMAGE_THUNK_DATA)(importDesc->OriginalFirstThunk);
if (thunkILT == NULL) { printf("[BuildImportTable]: thunkILT RVA NULL\n"); continue; }
// Get VA to (ILT)
thunkILT = (PIMAGE_THUNK_DATA)( codeBase + importDesc->OriginalFirstThunk);
if (thunkILT == NULL) { printf("[BuildImportTable]: codeBase + thunkILT RVA NULL\n"); continue; }
// Offset Linear Address to get valid data
//thunkILT = (PIMAGE_THUNK_DATA)rvaToPtr( (DWORD)thunkILT, module->NT_Headers, (DWORD)codeBase );
}
// FirstThunk - ( i.e., the array of linear addresses built by the loader ).
if (importDesc->FirstThunk){
// The RVA of the Import Address Table (IAT)
thunkIAT = (PIMAGE_THUNK_DATA)(importDesc->FirstThunk);
if (thunkIAT == NULL) { printf("[BuildImportTable]: thunkIAT RVA NULL\n"); continue; }
// Get VA to (IAT).
thunkIAT = (PIMAGE_THUNK_DATA)(codeBase + importDesc->FirstThunk);
if (thunkIAT == NULL) { printf("[BuildImportTable]: codeBase + thunkIAT RVA NULL\n"); continue; }
}
while( (thunkILT->u1.AddressOfData != 0) || thunkILT->u1.Ordinal != 0 )
{
if ( IMAGE_SNAP_BY_ORDINAL(thunkILT->u1.Ordinal) ) {
// BY ORDINAL
printf("[BuildImportTable]: OLD thunkIAT->Function: 0x%08X\n", thunkIAT->u1.Function);
/*HMODULE hModule = GetModuleHandle((LPCSTR)(codeBase + importDesc->Name));
if (hModule != NULL){*/
thunkIAT->u1.Function = (DWORD)pGetProcAddress(handle, (LPCSTR)IMAGE_ORDINAL(thunkILT->u1.Ordinal));
if (thunkIAT->u1.Function == NULL){
printf("[BuildImportTable]: Procedure Not Found By Ordinal\n");
printf("[BuildImportTable]: HMODULE: 0x%08X ERROR: %d\n", handle, GetLastError());
thunkILT++;
break;
}
printf("[BuildImportTable]: NEW thunkIAT->Function: 0x%08X\n", thunkIAT->u1.Function);
printf("[BuildImportTable]: Ordinal: 0x%08X\n", thunkILT->u1.Ordinal);
thunkILT++;
//}
//else{
// printf("[BuildImportTable]: HMODULE: 0x%08X ERROR: %d\n", hModule, GetLastError());
// thunkILT++; break; }
} else {
// if statement scope
PIMAGE_IMPORT_BY_NAME NameData;
NameData = (PIMAGE_IMPORT_BY_NAME)( thunkILT->u1.AddressOfData );
if (NameData == NULL) { printf("[BuildImportTable]: NameData RVA NULL\n"); break; }
NameData = (PIMAGE_IMPORT_BY_NAME)( codeBase + thunkILT->u1.AddressOfData );
if (NameData == NULL) { printf("[BuildImportTable]: codeBase + NameData RVA NULL\n"); break; }
// BY NAME
printf("[BuildImportTable]: OLD thunkIAT->Function: 0x%08X\n", thunkIAT->u1.Function);
thunkIAT->u1.Function = (DWORD)pGetProcAddress(handle, NameData->Name);
if (thunkIAT->u1.Function == NULL){ printf("[BuildImportTable]: Procedure Not Found By Name\n"); break; }
printf("[BuildImportTable]: NEW thunkIAT->Function: 0x%08X\n", thunkIAT->u1.Function);
printf("[BuildImportTable]: ThunkData->Name: %s\n", NameData->Name);
thunkILT++;
}
// CHECK NEW IAT
if ( thunkIAT == 0 ) {
result = 0;
printf("[BuildImportTable]: NEW IAT NULL\n");
break;
}
// Increment
thunkIAT++;
} // End of Thunk Loop
} // End of for Loop
} // Director Size
_getch();
return result;
}
最佳答案
(答案):
我通过确保 loadlibrary 具有正确的模块位置解决了上述问题。通过这样做,我获得了每个模块的正确句柄。
我使用 procmon 并过滤了应用程序,并在 CreateFile() 上放置了一个过滤器,该过滤器显示加载库正在搜索模块的区域。该模块不在任何列出的位置内。
因此,我将从现在开始提供 loadlibrary 完整路径,以阻止上述问题。
感谢您过来阅读我的问题。认为它已解决:)
关于c++ - HMODULE 重建导入地址表 IAT 时处理错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37543280/
25
4
0
当我这样做时... import numpy as np ...我可以使用它但是... import pprint as pp ...不能,因为我需要这样做... from pprint import
我第一次尝试将 OpenCV 用于 Python 3。要安装,我只需在终端中输入“pip3 install opencv-python”。当我这样做时,我在 Finder(我在 Mac 上)中看到,在
如果有一个库我将使用至少两种方法,那么以下之间在性能或内存使用方面是否有任何差异? from X import method1, method2 和 import X 最佳答案 有区别,因为在 imp
我正在从 lodash 导入一些函数,我的同事告诉我,单独导入每个函数比将它们作为一个组导入更好。 当前方法: import {fn1, fn2, fn3} from 'lodash'; 首选方法:
之间有什么关系: import WSDL 中的元素 -和- import元素和在 XML Schema ...尤其是 location 之间的关系前者和 schemaLocation 的属性后者的属性
我在从 'theano.configdefaults' 导入 'local_bitwidth' 时遇到问题。并显示以下消息: ImportError
我注意到 React 可以这样导入: import * as React from 'react'; ...或者像这样: import React from 'react'; 第一个导入 react
对于当前的项目,我必须使用矩阵中提供的信息并对其进行数学计算,以及使用 ITK/VTK 函数来显示医疗信息/渲染。基本上我必须以(我猜)50/50 的方式同时使用 matlab 例程和 VTK/ITK
当我看到 pysqlite 的示例时,SQLite 库有两个用例。 from sqlite3 import dbapi2 as sqlite3 和 import sqlite3 为什么有两种方式支持s
我使用 Anaconda Python 发行版:Python 2.7 x64 和 Windows 7 SP1 x64 Ultimate。 当我import matplotlib.pyplot时,我得到
目录 【容器】镜像导出/导入 导出 导入 带标签 不带标签,后期修改 【仓库】镜像导出/导入
我正在寻找一种导入模块的方法,以便我可以从子文件夹 project/v0 和根文件夹 project 运行脚本。/p> 我在 python 3.6 中的文件结构(这就是没有初始化文件的原因) proj
我通常被告知以下是不好的做法。 from module import * 主要原因(或者有人告诉我)是,您可能会导入一些您不想要的东西,并且它可能会隐藏另一个模块中具有类似名称的函数或类。 但是,Py
我为 urllib (python3) 编写了一个小包装器。在if中导入模块是否正确且安全? if self.response_encoding == 'gzip': import gzip
我正在 pimcore 中创建一个新站点。有没有办法导出/导入 pimcore 站点的完整数据,以便我可以导出 xml/csv 格式的 pimcore 数据进行必要的更改,然后将其导入回来? 最佳答案
在 Node JS 中测试以下模块布局,看起来本地导出的定义总是在名称冲突的情况下替换外部导出的定义(参见 B.js 中的 f1)。 A.js export const f1 = 'A' B.js e
我在使用 VBA 代码时遇到了一些问题,该代码应该将 excel 数据导入我的 Access 数据库。当我运行代码时,我收到一个运行时错误“运行时错误 438 对象不支持此属性或方法”。来自我在其他论
我有一个名为 elements 的包,其中包含按钮、trifader、海报等内容。在 Button 类中,我正在执行 from elements import * 这执行正常,当我尝试 print(p
在我长期使用 python 的经验中,我遇到了一个非常奇怪的问题。 提前我想说我想知道为什么会发生这种情况 ,而不是如何更改我的代码或如何修复它,因为我也可以做到。 我正在使用 python2.7.3
我正在更新我的包。但是,我正在为依赖项/导入而苦苦挣扎。我使用了两个冲突的包 - ggplot2和 psych及其功能 alpha当然还有 alpha ggplot2 的对象不同于 alpha psy
我是一名优秀的程序员,十分优秀!