取函数地址

元老

如何通过函数名和进程ID获取外部进程的函数地址（不是调用Dll的地址，是程序内的地址）？



补充内容 (2021-3-7 16:17):
啊，解决了，翻到个以前写的程序~

CigaretteWine

同一个电脑  多个进程  加载的dll都是同一个地址。内存地址一样的

CigaretteWine

那只能逆向了  不然的话 那不是随便hook了

CigaretteWine

weidongjun 发表于 2021-3-7 15:59
那只能逆向了  不然的话 那不是随便hook了

自己写的进程可以获取到自己写的函数的地址的

补充内容 (2021-3-7 16:03):
进程间也可以通讯的。

元老

weidongjun 发表于 2021-3-7 16:02
自己写的进程可以获取到自己写的函数的地址的

补充内容 (2021-3-7 16:03):

有没有例子呀~ 需要把普通权限的某个函数地址，交给System权限的进程（主要是打开进程这种，权限差太多直接失败）~

补充内容 (2021-3-7 16:05):
System可以随便给普通进程传参数~

补充内容 (2021-3-7 16:05):
进程通信好多都是用打开进程，emmm

CigaretteWine

创世之神 发表于 2021-3-7 16:04
有没有例子呀~ 需要把普通权限的某个函数地址，交给System权限的进程（主要是打开进程这种，权限差太多直 ...

带窗口的用消息就行 ，不带窗口的  其他不了解。没研究过 只用过tcp

大司命

进程_ID取模块~

冰棍好烫啊

  

子程序名	返回值类型	公开	备 注
进程_取函数入口	整数型		获取指定进程ID的指定模块的函数地址
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型				通过 进程_名取ID 获取
模块名	文本型				想要取出的模块名
函数名	文本型				对应的函数地址

变量名	类 型	静态	数组	备 注
pModeName	整数型
Fun_GetModuleHandleA	整数型
pFunName	整数型
Fun_GetProcAddress	整数型
pRes	整数型
ShellCode	字节集

pModeName ＝ 内存.申请文本内存 (进程ID, 模块名)
Fun_GetModuleHandleA ＝ GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetModuleHandleA”)  ' 取系统API地址 (“GetModuleHandleA”)  '
pFunName ＝ 内存.申请文本内存 (进程ID, 函数名)
Fun_GetProcAddress ＝ GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetProcAddress”)  ' 取系统API地址 (“GetProcAddress”)
pRes ＝ 内存.申请内存 (进程ID, 4)
ShellCode ＝ { 96, 104 } ＋ 到字节集 (pModeName) ＋ { 185 } ＋ 到字节集 (Fun_GetModuleHandleA) ＋ { 255, 209, 104 } ＋ 到字节集 (pFunName) ＋ { 80, 185 } ＋ 到字节集 (Fun_GetProcAddress) ＋ { 255, 209, 163 } ＋ 到字节集 (pRes) ＋ { 97, 195 }
' -------------------------------------------------------------------------------------------------------------------------------------
' 置汇编代码 ({  })
' ShellCode ＝ { 96 }  ' pushad
' ShellCode ＝ ShellCode ＋ { 104 } ＋ 到字节集 (pModeName)  ' push pModeName
' ShellCode ＝ ShellCode ＋ { 185 } ＋ 到字节集 (Fun_GetModuleHandleA)  ' mov ecx,Fun_GetModuleHandleA
' ShellCode ＝ ShellCode ＋ { 255, 209 }  ' call ecx
' ShellCode ＝ ShellCode ＋ { 104 } ＋ 到字节集 (pFunName)  ' push pFunName
' ShellCode ＝ ShellCode ＋ { 80 }  ' push eax
' ShellCode ＝ ShellCode ＋ { 185 } ＋ 到字节集 (Fun_GetProcAddress)  ' mov ecx,Fun_GetProcAddress
' ShellCode ＝ ShellCode ＋ { 255, 209 }  ' call ecx
' ShellCode ＝ ShellCode ＋ { 163 } ＋ 到字节集 (pRes)
' ShellCode ＝ ShellCode ＋ { 97 }
' ShellCode ＝ ShellCode ＋ { 195 }
' -------------------------------------------------------------------------------------------------------------------------------------
' pushad ()
' push_常数 (pModeName)
' mov_ecx_常数 (Fun_GetModuleHandleA)
' call_ecx ()
' push_常数 (pFunName)
' push_eax ()
' mov_ecx_常数 (Fun_GetProcAddress)
' call_ecx ()
' mov_dword_ptr_eax (pRes)
' popad ()
' ret ()
' ShellCode ＝ 取汇编代码 ()
' -------------------------------------------------------------------------------------------------------------------------------------
进程一调用汇编代码 (进程ID, ShellCode, )
pRes ＝ 内存.读整数 (进程ID, pRes)
内存.释放 (进程ID, pRes)
内存.释放 (进程ID, pFunName)
内存.释放 (进程ID, pModeName)
返回 (pRes)

子程序名	返回值类型	公开	备 注
进程一调用汇编代码	逻辑型
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型
汇编字节集	字节集
是否等待远程线程	逻辑型				如果为真，则等待远程线程执行完毕后才会返回。否则创建后立即返回(异步)

变量名	类 型	静态	数组	备 注
内存地址	整数型
远程线程句柄	整数型
进程句柄	整数型
j	整数型

如果真 (进程ID ＝ 0)
进程ID ＝ 进程一取自身进程ID ()
进程句柄 ＝ OpenProcess (2035711, 0, 进程ID)
内存地址 ＝ 内存.申请内存2 (进程句柄, 取字节集长度 (汇编字节集))
如果真 (内存地址 ＝ 0)
返回 (假)
如果真 (WriteProcessMemory_字节集 (进程句柄, 内存地址, 汇编字节集, 取字节集长度 (汇编字节集), 0) ＝ 假)
输出调试文本 (“写内存失败”)
返回 (假)
远程线程句柄 ＝ CreateRemoteThread (进程句柄, 0, 0, 内存地址, 0, 0, 0)
如果真 (远程线程句柄 ＝ 0)
输出调试文本 (“远程线程创建失败”)
返回 (假)
判断 (是否等待远程线程 ＝ 假)
WaitForSingleObject (远程线程句柄, -1)
CloseHandle (远程线程句柄)
内存.释放 (进程ID, 内存地址)
' 输出调试文本 (“远程资源已自动释放”)
返回 (真)
' 创建线程, 在线程等待。最后销毁相关数据
' 关于线程参数的一点说明
' 为了等待，需要传递三个参数：远程线程句柄，释放内存地址，进程PID
' 将通过一个长度为12的字节集来传递数据
j ＝ VirtualAlloc (0, 12, #MEM_COMMIT, #PAGE_READWRITE )
' j是之前循环变量, 已经不需要了, 这里就直接拿来用
写到内存 (到字节集 (远程线程句柄) ＋ 到字节集 (内存地址) ＋ 到字节集 (进程句柄), j, 12)
CloseHandle (CreateThread (0, 0, &内部等待线程, j, 0, 0))
' 因为并不需要对线程做后续操作，所以直接关闭线程句柄，让线程自行运行完毕自动销毁即可。
返回 (真)

子程序名	返回值类型	公开	备 注
内部等待线程
参数名	类 型	参考	可空	数组	备 注
参数地址	整数型

变量名	类 型	静态	数组	备 注
字节集	字节集
远程线程句柄	整数型
内存地址	整数型
进程PID	整数型

字节集 ＝ 指针到字节集 (参数地址, 12)
' 释放参数地址内存, 避免内存泄漏
VirtualFree (参数地址, 0, #MEM_RELEASE )
远程线程句柄 ＝ 取字节集数据 (字节集, #整数型, )
内存地址 ＝ 取字节集数据 (字节集, #整数型, 5)
进程PID ＝ 取字节集数据 (字节集, #整数型, 9)
WaitForSingleObject (远程线程句柄, -1)
CloseHandle (远程线程句柄)
内存.释放 (进程PID, 内存地址)
' 输出调试文本 (“远程资源已自动释放”)

.版本 2<br /> <br /> .子程序 进程_取函数入口, 整数型, 公开, 获取指定进程ID的指定模块的函数地址<br /> .参数 进程ID, 整数型, , 通过 进程_名取ID 获取<br /> .参数 模块名, 文本型, , 想要取出的模块名<br /> .参数 函数名, 文本型, , 对应的函数地址<br /> .局部变量 pModeName, 整数型<br /> .局部变量 Fun_GetModuleHandleA, 整数型<br /> .局部变量 pFunName, 整数型<br /> .局部变量 Fun_GetProcAddress, 整数型<br /> .局部变量 pRes, 整数型<br /> .局部变量 ShellCode, 字节集<br /> <br /> pModeName ＝ 内存.申请文本内存 (进程ID, 模块名)<br /> Fun_GetModuleHandleA ＝ GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetModuleHandleA”)  ' 取系统API地址 (“GetModuleHandleA”)  '<br /> pFunName ＝ 内存.申请文本内存 (进程ID, 函数名)<br /> Fun_GetProcAddress ＝ GetProcAddress_汇编 (GetModuleHandle_汇编 (“kernel32.dll”), “GetProcAddress”)  ' 取系统API地址 (“GetProcAddress”)<br /> pRes ＝ 内存.申请内存 (进程ID, 4)<br /> ShellCode ＝ { 96, 104 } ＋ 到字节集 (pModeName) ＋ { 185 } ＋ 到字节集 (Fun_GetModuleHandleA) ＋ { 255, 209, 104 } ＋ 到字节集 (pFunName) ＋ { 80, 185 } ＋ 到字节集 (Fun_GetProcAddress) ＋ { 255, 209, 163 } ＋ 到字节集 (pRes) ＋ { 97, 195 }<br /> <br /> ' -------------------------------------------------------------------------------------------------------------------------------------<br /> ' 置汇编代码 ({  })<br /> ' ShellCode ＝ { 96 }  ' pushad<br /> ' ShellCode ＝ ShellCode ＋ { 104 } ＋ 到字节集 (pModeName)  ' push pModeName<br /> ' ShellCode ＝ ShellCode ＋ { 185 } ＋ 到字节集 (Fun_GetModuleHandleA)  ' mov ecx,Fun_GetModuleHandleA<br /> ' ShellCode ＝ ShellCode ＋ { 255, 209 }  ' call ecx<br /> ' ShellCode ＝ ShellCode ＋ { 104 } ＋ 到字节集 (pFunName)  ' push pFunName<br /> ' ShellCode ＝ ShellCode ＋ { 80 }  ' push eax<br /> ' ShellCode ＝ ShellCode ＋ { 185 } ＋ 到字节集 (Fun_GetProcAddress)  ' mov ecx,Fun_GetProcAddress<br /> ' ShellCode ＝ ShellCode ＋ { 255, 209 }  ' call ecx<br /> ' ShellCode ＝ ShellCode ＋ { 163 } ＋ 到字节集 (pRes)<br /> ' ShellCode ＝ ShellCode ＋ { 97 }<br /> ' ShellCode ＝ ShellCode ＋ { 195 }<br /> ' -------------------------------------------------------------------------------------------------------------------------------------<br /> ' pushad ()<br /> ' push_常数 (pModeName)<br /> ' mov_ecx_常数 (Fun_GetModuleHandleA)<br /> ' call_ecx ()<br /> ' push_常数 (pFunName)<br /> ' push_eax ()<br /> ' mov_ecx_常数 (Fun_GetProcAddress)<br /> ' call_ecx ()<br /> ' mov_dword_ptr_eax (pRes)<br /> ' popad ()<br /> ' ret ()<br /> ' ShellCode ＝ 取汇编代码 ()<br /> ' -------------------------------------------------------------------------------------------------------------------------------------<br /> <br /> 进程一调用汇编代码 (进程ID, ShellCode, )<br /> pRes ＝ 内存.读整数 (进程ID, pRes)<br /> 内存.释放 (进程ID, pRes)<br /> 内存.释放 (进程ID, pFunName)<br /> 内存.释放 (进程ID, pModeName)<br /> 返回 (pRes)<br /> <br /> .版本 2<br /> <br /> .子程序 进程一调用汇编代码, 逻辑型, 公开<br /> .参数 进程ID, 整数型, 可空<br /> .参数 汇编字节集, 字节集<br /> .参数 是否等待远程线程, 逻辑型, 可空, 如果为真，则等待远程线程执行完毕后才会返回。否则创建后立即返回(异步)<br /> .局部变量 内存地址, 整数型<br /> .局部变量 远程线程句柄, 整数型<br /> .局部变量 进程句柄, 整数型<br /> .局部变量 j, 整数型<br /> <br /> .如果真 (进程ID ＝ 0)<br />     进程ID ＝ 进程一取自身进程ID ()<br /> .如果真结束<br /> 进程句柄 ＝ OpenProcess (2035711, 0, 进程ID)<br /> 内存地址 ＝ 内存.申请内存2 (进程句柄, 取字节集长度 (汇编字节集))<br /> .如果真 (内存地址 ＝ 0)<br />     返回 (假)<br /> .如果真结束<br /> .如果真 (WriteProcessMemory_字节集 (进程句柄, 内存地址, 汇编字节集, 取字节集长度 (汇编字节集), 0) ＝ 假)<br />     输出调试文本 (“写内存失败”)<br />     返回 (假)<br /> .如果真结束<br /> 远程线程句柄 ＝ CreateRemoteThread (进程句柄, 0, 0, 内存地址, 0, 0, 0)<br /> .如果真 (远程线程句柄 ＝ 0)<br />     输出调试文本 (“远程线程创建失败”)<br />     返回 (假)<br /> .如果真结束<br /> .判断开始 (是否等待远程线程 ＝ 假)<br />     WaitForSingleObject (远程线程句柄, -1)<br />     CloseHandle (远程线程句柄)<br />     内存.释放 (进程ID, 内存地址)<br />     ' 输出调试文本 (“远程资源已自动释放”)<br />     返回 (真)<br /> .默认<br />     ' 创建线程, 在线程等待。最后销毁相关数据<br />     ' 关于线程参数的一点说明<br />     ' 为了等待，需要传递三个参数：远程线程句柄，释放内存地址，进程PID<br />     ' 将通过一个长度为12的字节集来传递数据<br />     j ＝ VirtualAlloc (0, 12, #MEM_COMMIT, #PAGE_READWRITE)<br />     ' j是之前循环变量, 已经不需要了, 这里就直接拿来用<br />     写到内存 (到字节集 (远程线程句柄) ＋ 到字节集 (内存地址) ＋ 到字节集 (进程句柄), j, 12)<br />     CloseHandle (CreateThread (0, 0, &内部等待线程, j, 0, 0))<br />     ' 因为并不需要对线程做后续操作，所以直接关闭线程句柄，让线程自行运行完毕自动销毁即可。<br /> .判断结束<br /> 返回 (真)<br /> <br /> .子程序 内部等待线程<br /> .参数 参数地址, 整数型<br /> .局部变量 字节集, 字节集<br /> .局部变量 远程线程句柄, 整数型<br /> .局部变量 内存地址, 整数型<br /> .局部变量 进程PID, 整数型<br /> <br /> 字节集 ＝ 指针到字节集 (参数地址, 12)<br /> ' 释放参数地址内存, 避免内存泄漏<br /> VirtualFree (参数地址, 0, #MEM_RELEASE)<br /> 远程线程句柄 ＝ 取字节集数据 (字节集, #整数型, )<br /> 内存地址 ＝ 取字节集数据 (字节集, #整数型, 5)<br /> 进程PID ＝ 取字节集数据 (字节集, #整数型, 9)<br /> WaitForSingleObject (远程线程句柄, -1)<br /> CloseHandle (远程线程句柄)<br /> 内存.释放 (进程PID, 内存地址)<br /> ' 输出调试文本 (“远程资源已自动释放”)

冰棍好烫啊

进程_取函数入口()

元老

冰棍好烫啊 发表于 2021-3-7 18:03
进程_取函数入口()

哪个模块