为什么要获取导出函数的指针直接返回同一模块中的地址?
我正在使用经典的设置来挂接d3d9函数:注入DLL,然后获取目标函数地址,并使用JMP指令对其进行修补。
但是我遇到了我不太了解的事情。考虑以下我将注入到目标进程中的DLL中的片段:
HMODULE ModuleBasedOnGetAPI = NULL;
HMODULE ModuleBasedOnAddress = NULL;
ModuleBasedOnGetAPI = GetModuleHandleA("d3d9.dll");
D3D9Create_Original = (t_D3D9Create)GetProcAddress(ModuleBasedOnGetAPI,
"Direct3DCreate9");
D3D9Create_Original2 = &Direct3DCreate9;
GetModuleHandleExA(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS |
GET_MODULE_HANDLE_EX_FLAG_UNCHANGED_REFCOUNT,
(LPCSTR)D3D9Create_Original2, &ModuleBasedOnAddress);
char ModuleBasedOnGetAPI_path[_MAX_PATH];
GetModuleFileNameA(ModuleBasedOnGetAPI, ModuleBasedOnGetAPI_path, _MAX_PATH);
char ModuleBasedOnAddress_path[_MAX_PATH];
GetModuleFileNameA(ModuleBasedOnAddress, ModuleBasedOnAddress_path,
_MAX_PATH);
其中D3D9Create_Original和D3D9Create_Original2是类型的函数指针:
IDirect3D9*(__stdcall *)(UINT)
基本上,我执行了通常的GetModuleHandle调用,并获得了该文件的名称。然后我得到了函数指针,并使用GetModuleHandleEx和GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS来基本确定该地址来自哪个DLL。
因此ModuleBasedOnGetAPI_path是d3d9.dll文件的实际路径。
尽管ModuleBasedOnAddress_path似乎是我提取此摘录的DLL的路径。
那为什么呢?为什么Direct3DCreate9函数既驻留在我的DLL中又驻留在d3d9.dll中?构建DLL时我链接了d3d9.lib是否与事实有关?
1 个答案:
答案 0 :(得分:0)
您的构建配置是什么(即调试或发布)?看起来编译器的优化在这里也很重要。
对于发布版本,我无法重现该问题-这两个地址相同。
对于Debug版本,您的假设是正确的。这是因为当您直接在代码中引用Direct3DCreate9时,您是在自己的模块中调用存根代码,这将进一步从Import Address Table获取真实的Direct3DCreate9地址。
为了更好地说明这一概念,
请注意,Visual Studio已经告诉您这两个地址来自不同的模块。
让我们看看地址0x008f1249:
不超过jmp。进一步查看0x08FCFAD:
另一跳。最后0x0913220:
请记住D3D9Create_Original的值-这是与D3D9Create_Original相同的真实地址。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?