15,473
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
dongdongdongJL 2013-05-07
- 打赏
- 举报
截获MAC地址的获取函数,提供随机MAC地址
联系我的QQ:282955096
老王爱上猫 2013-05-06
- 打赏
- 举报
mark...备用
大鲸鱼有韵味 2013-05-06
- 打赏
- 举报
百度 pe结构
神-气 2013-04-24
- 打赏
- 举报
没错,但有时候好像有函数地址随机化的机制,本进程dll基址+被注入进程dll基址 不等于 本注入进程dll导出函数地址。比如D3D9.DLL在WIN7下就有这种现象。
MDianng 2013-04-22
- 打赏
- 举报
完全正确!
本进程dll导出函数地址-本进程dll基址+被注入进程dll基址=本注入进程dll导出函数地址。
获得被注入进程dll的基址方法
配合dll的路径。
EnumProcessModules+GetModuleBaseName(或GetModuleFileNameEx)得到喽。
myjisgreat 2013-04-18
- 打赏
- 举报
我说漏了,偏移是你dll的基地址与导出函数的地址之差
myjisgreat 2013-04-18
- 打赏
- 举报
我只是猜猜啊~lz可以试试看
如果导出函数的地址相对dll基地址偏移不变的话
你在自己的进程中加载注入dll,获得函数地址,相减就是偏移
然后得到远程进程注入dll的基地址,加上前面得到的偏移,就是函数地址啦
schlafenhamster 2013-04-12
- 打赏
- 举报
可不可以:
GetProcAddress("YourDll.dll","YourExportFunction");
小小爬虾 2013-04-12
- 打赏
- 举报
看一看windows核心编程中关于DLL的部分
wumn29 2013-04-11
- 打赏
- 举报
//写进去,将本进程的整个PE体 全写进目标进程,够狠~
if (!WriteProcessMemory(hProcess, pBaseAddr, LPVOID(hMod), cbImage, NULL))
{
#ifdef debug
MessageBoxA(NULL, "WriteProcessMemory failed", NULL, 64);
#endif
goto Err;
}
以上是博客中的片段http://www.hackbase.com/tech/2012-05-30/66582.html
wumn29 2013-04-11
- 打赏
- 举报
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");
mlqxj35674 2013-04-02
- 打赏
- 举报
nod
nod
nod
mlqxj35674 2013-03-25
- 打赏
- 举报
这个问题真不简单,很难百度到答案,谁能有好办法
一个傻冒 2013-03-21
- 打赏
- 举报
遍历导出表。先定位模块地址,再解析PE文件头,再查导出表。
