根据函数地址表遍历函数名称RVA表,和上面的图是逆过程
//函数地址表 和当前内存中的位置DWORD AddressOfFunctionsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfFunctions);PDWORD LPFunctionsAddressInMemary = (PDWORD)((char*)LPdosHeader + AddressOfFunctionsFOA);//名称序号表的FOA 和在当前内存的位置DWORD AddressOfNameOrdinalsFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNameOrdinals);PWORD WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);//名称字符串RVA表和在当前内存的位置DWORD AddressOfNamesFOA = RVAToFOA(LPdosHeader, LPexprotDir->AddressOfNames);PDWORD LPNamesAddressInMemary= (PDWORD)((char*)LPdosHeader + AddressOfNamesFOA);//遍历函数地址表 ,for (size_t i = 0; i < LPexprotDir->NumberOfFunctions; i++){printf("[%d]",i);/*-----------------------------------------------使用.def文件导出函数时,如果序号之间有空位比如EXPORTSadd @2sub @3 NONAMEmul @7div1 @8那么在函数地址表中就会有 0地址填充-------------------------------------------------*/if (*LPFunctionsAddressInMemary == 0){printf("0x%x\n", *LPFunctionsAddressInMemary);continue;}printf("\t\t\t0x%x", *LPFunctionsAddressInMemary);//遍历名称序号表/*-----------------------------------------------* 如果函数地址表的索引 和 名称序号表中的值相同,说明这个函数* 是以名称导出的-------------------------------------------------*/for (size_t j = 0; j< LPexprotDir->NumberOfNames; j++){if (*WPNameOrdinalsInMemary == i)//如果 函数地址表的索引 == 名称序号表中保存的值,说明这个函数是以 名称导出的{printf("\t\t\t\t%d", *WPNameOrdinalsInMemary);//输出函数的名称/*------------------------------------------------ -* 名称序号表的 索引 就对于 函数名称RVA表 的索引* 这样就可以去找函数名了------------------------------------------------ - */char* str = (char*)LPdosHeader + RVAToFOA(LPdosHeader, LPNamesAddressInMemary[j]);printf("\t\t\t%s\t\t\t%d\n", str, LPexprotDir->Base+ *WPNameOrdinalsInMemary);}WPNameOrdinalsInMemary++;}WPNameOrdinalsInMemary = (PWORD)((char*)LPdosHeader + AddressOfNameOrdinalsFOA);LPFunctionsAddressInMemary++;}导出表中 的函数地址表 中存在一种 转发函数
转发函数
可以看到 函数地址表中的RVA 并没有指向可执行的代码(当然我是用pe编辑器打开的,如果纯2进制,完全看不出来差异) ..而是指向一个字符串 , 格式为 dll的名称.dll中的函数
如何在 dll中判断 这个函数地址表的存放的是函数地址RVA ,还是转发函数,
if (*LPFunctionsAddressInMemary >= LPntHeader32->OptionalHeader.DataDirectory[0].VirtualAddress
&&
*LPFunctionsAddressInMemary <= LPntHeader32->OptionalHeader.DataDirectory[0].VirtualAddress + LPntHeader32->OptionalHeader.DataDirectory[0].Size){//说明*LPFunctionsAddressInMemary 保存的RVA是 转发函数,这个rva指向一个字符串,格式为 dll名称.函数名}
利用转发函数这一特性进行dll的注入
利用转发函数的DLL注入
1.13 导出表劫持ShellCode加载-腾讯云开发者社区-腾讯云 (tencent.com)
在这篇文章中 ,实际上只是利用dll的搜索路径来 劫持dll ,没有 函数过滤的效果.
DLL劫持学习及复现 - Lushun - 博客园 (cnblogs.com)
这篇文章同样也是通过修改DLL文件名,但是并没有真正的实现函数的转发.
我设想的创建 同参数的函数,修改 导入表中的函数地址表 的RVA指向的转发dll的名称,为自己的dll名称,在同参数的函数最后在调用 需要转发的函数. 这样达到函数过滤的效果.
这种过滤的局限性很大,并且需要修改系统的dll( 不会有人自己的dll使用转发函数吧)
如果只是需要将DLL加载到内存中. 使用导出表劫持,可以保证程序正常的调用>
即使你在DLL中自己调用loadlibrary 将真的dll 加载到内存中.
但是原程序的iat表 的值到底是怎么个事呢
未完待续.......................................................
获取指定滑动条(trackbar)的当前位置函数getTrackbarPos()的使用)
)
)
