16,548
社区成员
发帖
与我相关
我的任务
分享挂接API,在user32.dll里居然没有找到MessageBoxA()的地址,为什么??
小弟照着《windows核心编程》的讲解做了一个挂接MessageBoxA()函数的例子。可是在用ReplaceIATEntryInOneMod()函数挂接时没有成功,ReplaceIATEntryInOneMod做的事情是找出本程序的输入节,然后找到输入节中user32.dll模块的MessageBoxA()函数的地址。ReplaceIATEntryInOneMod()执行完后我在本程序中调用了MessageBoxA()函数,却没有执行我挂接的函数。
我断点跟进去看,发现它的确是找到了user32.dll的地址,但是里面却没有MessageBoxA()函数的地址。只是为什么,难道MessageBoxA()函数不在user32.dll模块中??
ReplaceIATEntryInOneMod()函数我用的是书上的原码。代码如下:
我断点跟进去看,发现它的确是找到了user32.dll的地址,但是里面却没有MessageBoxA()函数的地址。只是为什么,难道MessageBoxA()函数不在user32.dll模块中??
ReplaceIATEntryInOneMod()函数我用的是书上的原码。代码如下:
void ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller)
{
ULONG ulSize;
/*ReplaceIATEntryInOneMod函数要做的第一件事情是找出hmodCaller模块的输入节,方法是调用ImageDirectoryEntryToData函数,
给它传递IMAGE_DIRECTORY_ENTRY_IMPORT。如果该函数返回NULL,DataBase.exe模块就没有输入节,并且不进行任何操作。*/
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)
ImageDirectoryEntryToData(hmodCaller, TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);
if(pImportDesc == NULL)
return;
/*如果DataBase.exe有一个输入节,那么ImageDirectoryEntryToData就返回该输入节的地址,该地址是一个类型为PIMAGE_IMPORT_DESCRIPTOR的指针。现在 我们必须查看该模块的输入节,找出包含我们想要修改的输入函数的DLL。for循环负责扫描DLL模块的名字。注意,模块的输入节中的所有字符串都是用ANSI(决不能用Unicode)编写。这就是为什么要显式调用lstrcmpiA而不是lstrcmpi宏的原因。*/
for(; pImportDesc->Name; pImportDesc++)
{
PSTR pszModName = (PSTR)((PBYTE) hmodCaller + pImportDesc->Name);
if(lstrcmpiA(pszModName, pszCalleeModName) == 0)
break;
}
if(pImportDesc->Name == 0)
return;
/*如果该循环终止运行,但是没有找到对“Kernel32.dll”中的任何符号的引用,那么该函数就返回,并且仍然无所事事。*/
/*如果模块的输入节确实引用了“Kernel32.dll”中的符号,那么将得到包含输入符号信息的IMAGE_THUNK_DATA结构的数组的地址。然后,重复引用来自“Kernel32.dll”的所有输入符号,寻找与符号的当前地址相匹配的地址。*/
PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)((PBYTE)hmodCaller + pImportDesc->FirstThunk);
for(; pThunk->u1.Function; pThunk++)
{
PROC* ppfn = (PROC*) &pThunk->u1.Function;
// Is this the function we're looking for?
BOOL fFound = (*ppfn == pfnCurrent);
/*如果找到了一个匹配的地址,便调用WriteProcessMemory函数,以便改变替换函数的地址。使用WriteProcessMemory函数,而不是InterlockedExchangePointer函数是因为WriteProcessMemory能够改变字节,而不管这些字节拥有什么页面保护属性。*/
if(fFound)
{
WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew, sizeof(pfnNew), NULL);
return;
}
}
}
...全文
请发表友善的回复…
发表回复
Milo米啊米啊米 2008-03-18
- 打赏
- 举报
这么多天了,还没解决,结了算了。谢谢楼上各位的讨论!
Milo米啊米啊米 2008-03-11
- 打赏
- 举报
谢谢楼上,我知道你说的方法,但是我不想改内存地址,原因是怕别的程序调用MessageBoxW时也受到影响
nooning 2008-03-11
- 打赏
- 举报
HOOK导入表不成功,可以直接改入口,把MessageBoxW开始的大于5字节代码完整复制到另一块内存,最后付上一句跳回,把MessageBoxW改成Jmp 你的函数 ,现在你就可以HOOK到所有的MessageBoxW调用了(除了部分加壳程序会复制代码外)
Milo米啊米啊米 2008-03-11
- 打赏
- 举报
顶一个,别沉了。好几天了,那位大哥帮个忙啊。
Milo米啊米啊米 2008-03-10
- 打赏
- 举报
这是书上的例子啊。难道没有人做过这个例子吗?
cnzdgs 2008-03-08
- 打赏
- 举报
试这种程序先把防毒软件关了。
Y___Y 2008-03-08
- 打赏
- 举报
不用IAT方式挂接不就行了
Milo米啊米啊米 2008-03-08
- 打赏
- 举报
我不想用JUMP CPU指令改写函数内存地址,这样可能会影响到其他调用该函数的进程,所以才选用改变其输入节的。
Milo米啊米啊米 2008-03-08
- 打赏
- 举报
我想做的就是在我调用MessageBoxA()时执行我挂接的函数,可是却不成功。怎样才能实现呢?希望大家能帮我,分数可以再加。
verybigbug 2008-03-08
- 打赏
- 举报
只有显式的调用了MessageBoxA函数,ReplaceIATEntryInOneMod才能抓的。你用dumpbin看看你的程序有没有import MessageBoxA就知道了。
Milo米啊米啊米 2008-03-08
- 打赏
- 举报
我在用ReplaceIATEntryInOneMod()挂接了MessaeBoxA()后就添加了一个按钮,点按钮就调用MessaeBoxA(),弹出一个消息框。如果我挂接成功的话是不会弹出的。
verybigbug 2008-03-08
- 打赏
- 举报
这个只能说明DataBase.exe中没有显式的调用MessaeBoxA函数,不能说明user32中没有MessageBoxA函数。
