Получить адрес экспортируемых функций

@Dimarik__ · Регистрация: 29.04.2010

Author24 — интернет-сервис помощи студентам

Нужно получить адрес экспортируемой функции в kernel32.dll. Делаю по примеру этой статьи: http://www.wasm.ru/article.php?article=green2red01
Однако, у меня вот в этом месте возникает acces violattation (как говорит отладчик)

Код

		repe cmpsb;строка 96

Очевидно что имеется проблема с ESI. Наверное как-то неправильно обработал IMAGE_EXPORT_DIRECTORY.....
Адрес PE и DOS-заголовков был олучен правильно. 100%. Адрес базы kernel32.dll - это ведь адрес DOS-заголовка, ведь так?
адрес базы я записываю в регистр EBX и дальше с ним работаю. Может быть здесь ошибка?
Вот сам код полностью http://zalil.ru/32516500

@Vadimych · 17.01.2012, 16:04

Dimarik__, вот твои ошибки. Три штуки. Точнее, одна и две недоделки. Внимательнее надо код писать. И переписывать.

Assembler

    mov ESI, DD_addressOfBaseKernel32_IMAGE_NT_HEADERS
    assume ESI:ptr IMAGE_NT_HEADERS
    mov ESI, [ESI].OptionalHeader.DataDirectory[0].VirtualAddress;загружаем RVA таблицы экспорта
    add ESI, EBX;адрес таблицы экспорта
    assume ESI:ptr IMAGE_EXPORT_DIRECTORY
push esi  ; первая
    mov ESI, [ESI].AddressOfNames;загружаем в ESI RVA, которое указывает на массив RVA имён функций в модуле
    add ESI,EBX;теперь ESI указывает на массив имён функций
    xor EDX,EDX;в EDX будем хранить индекс
    mov EAX, ESI
    
    mov ESI, dword ptr [ESI];теперь в ESI находится адрес
    label_NextName:
add esi,ebx        ; вторая
        mov EDI, offset stringFunctionAddress
        mov ECX, DD_sizeofFunctionName
        cld
        repe cmpsb ;сравниваем строку, находящуюся по адресу [ESI] со строкой по адресу [EDI]
        .if ECX==0;если нашли имя
 
            jmp label_GetAddr
        .endif
        inc EDX;увеличиваем индекс на 1
        add EAX,4;переходим к следующему адресу в поле [ESI].AddressOfNames
        mov ESI, dword ptr [EAX]
        jmp label_NextName
 
    label_GetAddr:;если нашли искомую функцию
        pop ESI
        mov EDI, ESI
        mov ESI, [ESI].AddressOfNameOrdinals
        add ESI, EBX;массив слов с индексами
        movzx EDX, word ptr [ESI][EDX*2]; в DX загружаем ординал (16 бит (2 байта))
        assume EDI:ptr IMAGE_EXPORT_DIRECTORY
        sub EDX, [EDI].nBase;вычитаем начальный ординал
        inc EDX;так как начальный ординал начинается с 1
        mov ESI, [EDI].AddressOfFunctions
        add ESI, EBX;массив адресов функций
mov EAX, dword ptr [ESI][EdX*4]         ; третья

@Dimarik__ 21 / 21 / 3 Регистрация: 29.04.2010 Сообщений: 444
		1
	Получить адрес экспортируемых функций 17.01.2012, 15:14. Показов 1226. Ответов 1 Метки нет (Все метки) Нужно получить адрес экспортируемой функции в kernel32.dll. Делаю по примеру этой статьи: http://www.wasm.ru/article.php?article=green2red01 Однако, у меня вот в этом месте возникает acces violattation (как говорит отладчик) Код repe cmpsb;строка 96 Очевидно что имеется проблема с ESI. Наверное как-то неправильно обработал IMAGE_EXPORT_DIRECTORY..... Адрес PE и DOS-заголовков был олучен правильно. 100%. Адрес базы kernel32.dll - это ведь адрес DOS-заголовка, ведь так? адрес базы я записываю в регистр EBX и дальше с ним работаю. Может быть здесь ошибка? Вот сам код полностью http://zalil.ru/32516500 0

	17.01.2012, 16:04