Подпишитесь на наш Telegram-канал, чтобы всегда быть в курсе важных обновлений! Перейти
Что нового?

C++ RtlFindExportedRoutineByName

Dimedrol
Energy Reload
Забаненный
D
Забаненный
Статус
Оффлайн
Регистрация
20 Авг 2017
Сообщения
1,206
Реакции
330
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Понемногу начинаю изучать прототипы функций.
И тут возник вопрос.
Для получения экспортных функций нужно использовать RtlFindExportedRoutineByName,которая ломает всю концепцию идеи.
В ring3 есть свои функции по замене.
А как быть в ring0?
 
es3n1n написал(а):
MmGetSystemRoutineAddress если чет из нтоскрнл хочешь найти
ну а так, таблица экспортов у драйверов то вся та же, никто не мешает ее тебе парсить
к примеру
Пожалуйста, авторизуйтесь для просмотра ссылки.
Нажмите для раскрытия...
Или например спиздить напрямую из ReactOS код если лень реверсить)))

RtlFindExportedRoutineByName:
Expand Collapse Copy 
PVOID
NTAPI
RtlFindExportedRoutineByName(
  _In_ PVOID DllBase,
  _In_ PANSI_STRING ExportName
  )
{
  //
  // RtlFindExportedRoutineByName is not exported by ntoskrnl until Win10.
  // Following code is borrowed from ReactOS.
  //

  PULONG NameTable;
  PUSHORT OrdinalTable;
  PIMAGE_EXPORT_DIRECTORY ExportDirectory;
  LONG Low = 0, Mid = 0, High, Ret;
  USHORT Ordinal;
  PVOID Function;
  ULONG ExportSize;
  PULONG ExportTable;

  //
  // Get the export directory.
  //

  ExportDirectory = RtlImageDirectoryEntryToData(DllBase,
                                                 TRUE,
                                                 IMAGE_DIRECTORY_ENTRY_EXPORT,
                                                 &ExportSize);

  if (!ExportDirectory)
  {
    return NULL;
  }

  //
  // Setup name tables.
  //

  NameTable    = (PULONG) ((ULONG_PTR)DllBase + ExportDirectory->AddressOfNames);
  OrdinalTable = (PUSHORT)((ULONG_PTR)DllBase + ExportDirectory->AddressOfNameOrdinals);

  //
  // Do a binary search.
  //

  High = ExportDirectory->NumberOfNames - 1;
  while (High >= Low)
  {
    //
    // Get new middle value.
    //

    Mid = (Low + High) >> 1;

    //
    // Compare name.
    //

    Ret = strcmp(ExportName->Buffer, (PCHAR)DllBase + NameTable[Mid]);
    if (Ret < 0)
    {
      //
      // Update high.
      //
      High = Mid - 1;
    }
    else if (Ret > 0)
    {
      //
      // Update low.
      //
      Low = Mid + 1;
    }
    else
    {
      //
      // We got it.
      //
      break;
    }
  }

  //
  // Check if we couldn't find it.
  //

  if (High < Low)
  {
    return NULL;
  }

  //
  // Otherwise, this is the ordinal.
  //

  Ordinal = OrdinalTable[Mid];

  //
  // Validate the ordinal.
  //

  if (Ordinal >= ExportDirectory->NumberOfFunctions)
  {
    return NULL;
  }

  //
  // Resolve the address and write it.
  //

  ExportTable = (PULONG)((ULONG_PTR)DllBase + ExportDirectory->AddressOfFunctions);
  Function = (PVOID)((ULONG_PTR)DllBase + ExportTable[Ordinal]);

  //
  // We found it!
  //

  NT_ASSERT(
    (Function < (PVOID)ExportDirectory) ||
    (Function > (PVOID)((ULONG_PTR)ExportDirectory + ExportSize))
  );

  return Function;
}
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Dimedrol написал(а):
НО оно не совсем корректно работает.
Нажмите для раскрытия...
А посмотреть почему не захотелось?
Может быть это из-за их метода получения ntoskrnl?

Либа рабочая. Её работоспособность зависит от человека использующего эту либу.
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
og написал(а):
Или например спиздить напрямую из ReactOS код если лень реверсить)))

RtlFindExportedRoutineByName:
Expand Collapse Copy 
PVOID
NTAPI
RtlFindExportedRoutineByName(
  _In_ PVOID DllBase,
  _In_ PANSI_STRING ExportName
  )
{
  //
  // RtlFindExportedRoutineByName is not exported by ntoskrnl until Win10.
  // Following code is borrowed from ReactOS.
  //

  PULONG NameTable;
  PUSHORT OrdinalTable;
  PIMAGE_EXPORT_DIRECTORY ExportDirectory;
  LONG Low = 0, Mid = 0, High, Ret;
  USHORT Ordinal;
  PVOID Function;
  ULONG ExportSize;
  PULONG ExportTable;

  //
  // Get the export directory.
  //

  ExportDirectory = RtlImageDirectoryEntryToData(DllBase,
                                                 TRUE,
                                                 IMAGE_DIRECTORY_ENTRY_EXPORT,
                                                 &ExportSize);

  if (!ExportDirectory)
  {
    return NULL;
  }

  //
  // Setup name tables.
  //

  NameTable    = (PULONG) ((ULONG_PTR)DllBase + ExportDirectory->AddressOfNames);
  OrdinalTable = (PUSHORT)((ULONG_PTR)DllBase + ExportDirectory->AddressOfNameOrdinals);

  //
  // Do a binary search.
  //

  High = ExportDirectory->NumberOfNames - 1;
  while (High >= Low)
  {
    //
    // Get new middle value.
    //

    Mid = (Low + High) >> 1;

    //
    // Compare name.
    //

    Ret = strcmp(ExportName->Buffer, (PCHAR)DllBase + NameTable[Mid]);
    if (Ret < 0)
    {
      //
      // Update high.
      //
      High = Mid - 1;
    }
    else if (Ret > 0)
    {
      //
      // Update low.
      //
      Low = Mid + 1;
    }
    else
    {
      //
      // We got it.
      //
      break;
    }
  }

  //
  // Check if we couldn't find it.
  //

  if (High < Low)
  {
    return NULL;
  }

  //
  // Otherwise, this is the ordinal.
  //

  Ordinal = OrdinalTable[Mid];

  //
  // Validate the ordinal.
  //

  if (Ordinal >= ExportDirectory->NumberOfFunctions)
  {
    return NULL;
  }

  //
  // Resolve the address and write it.
  //

  ExportTable = (PULONG)((ULONG_PTR)DllBase + ExportDirectory->AddressOfFunctions);
  Function = (PVOID)((ULONG_PTR)DllBase + ExportTable[Ordinal]);

  //
  // We found it!
  //

  NT_ASSERT(
    (Function < (PVOID)ExportDirectory) ||
    (Function > (PVOID)((ULONG_PTR)ExportDirectory + ExportSize))
  );

  return Function;
}
Нажмите для раскрытия...
Ваша информация очень сильно помогла.
Я остановился на вашем посте.
og написал(а):
А посмотреть почему не захотелось?
Может быть это из-за их метода получения ntoskrnl?

Либа рабочая. Её работоспособность зависит от человека использующего эту либу.
Нажмите для раскрытия...

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

 
Последнее редактирование:

Похожие темы

lakercha
Раздача ( не актуал )Ключи на приватный чит для разных игр ( остановлена выдача )
Ответы
18
Просмотры
446
basak515
B
lakercha
  • Закрыта
Раздача Ключи на приватный чит для разных игр
5 6 7
Ответы
135
Просмотры
4K
Ezek666
E
Mikhail_KH
Undetected Новый софт Mason для Active Matter
Ответы
0
Просмотры
240
Mikhail_KH
Mikhail_KH
xenfestation
Outdated Скачать чит для R.E.P.O: бесплатный чит-мод для игры РЕПО
Ответы
6
Просмотры
3K
xenfestation
xenfestation
Mikhail_KH
Undetected S5 | Рабочий чит для Battlefield 6 с Aimbot, ESP и Magic Bullet
Ответы
0
Просмотры
121
Mikhail_KH
Mikhail_KH
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу