Windows下C++实战:如何快速定位DLL模块的基地址(附完整代码)

张开发
2026/4/6 21:33:52 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

Windows下C++实战:如何快速定位DLL模块的基地址(附完整代码)
Windows下C实战快速定位DLL模块基地址的三种高效方法在Windows平台进行C开发时经常需要与第三方DLL模块交互或进行底层调试。掌握快速定位DLL模块基地址的技术就像拥有了打开Windows系统内部机制的钥匙。本文将深入探讨三种实用方法并提供可直接集成到项目中的完整代码实现。1. 为什么需要获取DLL基地址DLL模块基地址是模块被加载到进程内存空间中的起始位置。了解这个地址对于以下场景至关重要函数Hook技术修改或扩展DLL功能时需要知道函数的确切内存位置内存补丁开发直接修改内存中的数据需要基于模块基地址计算偏移逆向工程分析理解程序内部结构的基础性能优化直接内存访问比通过API调用更高效典型应用场景游戏外挂开发中的内存修改安全软件的行为监控插件系统的动态加载机制反病毒软件的恶意行为检测2. 基础方法使用GetModuleHandle和GetModuleInformationWindows API提供了最直接的获取模块信息的方式。这种方法适合已知模块名称且不需要跨进程操作的场景。2.1 核心API解析// 获取模块句柄 HMODULE GetModuleHandle(LPCTSTR lpModuleName); // 获取模块详细信息 BOOL GetModuleInformation( HANDLE hProcess, HMODULE hModule, LPMODULEINFO lpmodinfo, DWORD cb );2.2 完整实现代码#include windows.h #include iostream #include tchar.h void PrintModuleBaseAddress(LPCTSTR moduleName) { // 获取模块句柄 HMODULE hModule GetModuleHandle(moduleName); if (hModule NULL) { _tprintf(_T(Failed to get module handle. Error: %d\n), GetLastError()); return; } // 准备模块信息结构 MODULEINFO moduleInfo; ZeroMemory(moduleInfo, sizeof(moduleInfo)); // 获取当前进程句柄 HANDLE hProcess GetCurrentProcess(); // 获取模块信息 if (GetModuleInformation(hProcess, hModule, moduleInfo, sizeof(moduleInfo))) { _tprintf(_T(Module: %s\n), moduleName); _tprintf(_T(Base Address: 0x%p\n), moduleInfo.lpBaseOfDll); _tprintf(_T(Image Size: %d bytes\n), moduleInfo.SizeOfImage); _tprintf(_T(Entry Point: 0x%p\n), moduleInfo.EntryPoint); } else { _tprintf(_T(Failed to get module information. Error: %d\n), GetLastError()); } } int _tmain(int argc, _TCHAR* argv[]) { if (argc 2) { _tprintf(_T(Usage: %s module_name\n), argv[0]); _tprintf(_T(Example: %s kernel32.dll\n), argv[0]); return 1; } PrintModuleBaseAddress(argv[1]); return 0; }2.3 方法优缺点分析优点实现简单直接不需要额外权限适用于当前进程内模块查询缺点只能获取已加载模块的信息无法查询其他进程的模块信息对部分系统模块可能返回NULL3. 进阶方法使用ToolHelp32 API枚举模块当需要获取进程所有模块信息或跨进程查询时ToolHelp32系列API提供了更强大的功能。3.1 核心API解析// 创建进程快照 HANDLE CreateToolhelp32Snapshot(DWORD dwFlags, DWORD th32ProcessID); // 模块信息结构 typedef struct tagMODULEENTRY32 { DWORD dwSize; DWORD th32ModuleID; DWORD th32ProcessID; DWORD GlblcntUsage; DWORD ProccntUsage; BYTE *modBaseAddr; DWORD modBaseSize; HMODULE hModule; char szModule[MAX_MODULE_NAME32 1]; char szExePath[MAX_PATH]; } MODULEENTRY32; // 枚举模块函数 BOOL Module32First(HANDLE hSnapshot, LPMODULEENTRY32 lpme); BOOL Module32Next(HANDLE hSnapshot, LPMODULEENTRY32 lpme);3.2 完整实现代码#include windows.h #include tlhelp32.h #include iostream #include tchar.h DWORD_PTR GetModuleBaseAddress(DWORD pid, LPCTSTR moduleName) { HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_SNAPMODULE32, pid); if (hSnapshot INVALID_HANDLE_VALUE) { return 0; } MODULEENTRY32 moduleEntry; moduleEntry.dwSize sizeof(MODULEENTRY32); if (!Module32First(hSnapshot, moduleEntry)) { CloseHandle(hSnapshot); return 0; } do { if (_tcsicmp(moduleEntry.szModule, moduleName) 0) { CloseHandle(hSnapshot); return (DWORD_PTR)moduleEntry.modBaseAddr; } } while (Module32Next(hSnapshot, moduleEntry)); CloseHandle(hSnapshot); return 0; } void PrintAllModules(DWORD pid) { HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_SNAPMODULE32, pid); if (hSnapshot INVALID_HANDLE_VALUE) { _tprintf(_T(Failed to create snapshot. Error: %d\n), GetLastError()); return; } MODULEENTRY32 moduleEntry; moduleEntry.dwSize sizeof(MODULEENTRY32); if (!Module32First(hSnapshot, moduleEntry)) { CloseHandle(hSnapshot); return; } _tprintf(_T(PID: %d\n), pid); _tprintf(_T(%-20s %-12s %-12s %s\n), _T(Module Name), _T(Base Address), _T(Size), _T(Path)); do { _tprintf(_T(%-20s 0x%-10p %-12d %s\n), moduleEntry.szModule, moduleEntry.modBaseAddr, moduleEntry.modBaseSize, moduleEntry.szExePath); } while (Module32Next(hSnapshot, moduleEntry)); CloseHandle(hSnapshot); } int _tmain(int argc, _TCHAR* argv[]) { if (argc 2) { _tprintf(_T(Usage: %s PID|module_name\n), argv[0]); _tprintf(_T(Example 1: %s 1234\n), argv[0]); _tprintf(_T(Example 2: %s kernel32.dll\n), argv[0]); return 1; } // 判断输入是PID还是模块名 if (_ttoi(argv[1]) ! 0 || _tcscmp(argv[1], _T(0)) 0) { // 输入是PID列出所有模块 DWORD pid _ttoi(argv[1]); PrintAllModules(pid); } else { // 输入是模块名获取当前进程中的模块基地址 DWORD_PTR baseAddr GetModuleBaseAddress(GetCurrentProcessId(), argv[1]); if (baseAddr ! 0) { _tprintf(_T(Module %s base address: 0x%p\n), argv[1], (void*)baseAddr); } else { _tprintf(_T(Module %s not found or error occurred.\n), argv[1]); } } return 0; }3.3 方法优缺点分析优点可以枚举进程所有模块支持跨进程查询获取信息更全面路径、大小等缺点需要适当权限特别是查询其他进程时实现稍复杂32/64位兼容性问题需要注意4. 高级方法PEB遍历技术对于需要深度控制或绕过某些检测的场景直接访问进程环境块(PEB)是最底层的方法。4.1 技术原理每个Windows进程都有一个PEB结构其中包含加载的模块信息。通过遍历PEB中的模块链表可以获取所有DLL的基地址。关键数据结构typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICODE_STRING BaseDllName; // ...其他字段省略 } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;4.2 完整实现代码#include windows.h #include winternl.h #include iostream #include tchar.h // 声明未文档化的API typedef NTSTATUS(NTAPI* pfnNtQueryInformationProcess)( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); typedef struct _PROCESS_BASIC_INFORMATION { PVOID Reserved1; PPEB PebBaseAddress; PVOID Reserved2[2]; ULONG_PTR UniqueProcessId; PVOID Reserved3; } PROCESS_BASIC_INFORMATION; DWORD_PTR GetModuleBaseAddressFromPeb(HANDLE hProcess, LPCTSTR moduleName) { HMODULE hNtdll GetModuleHandle(_T(ntdll.dll)); if (!hNtdll) { return 0; } pfnNtQueryInformationProcess NtQueryInformationProcess (pfnNtQueryInformationProcess)GetProcAddress(hNtdll, NtQueryInformationProcess); if (!NtQueryInformationProcess) { return 0; } PROCESS_BASIC_INFORMATION pbi; ULONG len; NTSTATUS status NtQueryInformationProcess( hProcess, ProcessBasicInformation, pbi, sizeof(pbi), len ); if (!NT_SUCCESS(status) || !pbi.PebBaseAddress) { return 0; } // 读取PEB地址 PEB peb; if (!ReadProcessMemory(hProcess, pbi.PebBaseAddress, peb, sizeof(peb), NULL)) { return 0; } // 读取PEB_LDR_DATA PEB_LDR_DATA ldrData; if (!ReadProcessMemory(hProcess, peb.Ldr, ldrData, sizeof(ldrData), NULL)) { return 0; } // 遍历模块链表 LIST_ENTRY* pListHead ldrData.InLoadOrderModuleList; LIST_ENTRY* pCurrent pListHead-Flink; while (pCurrent ! pListHead) { // 读取当前模块条目 LDR_DATA_TABLE_ENTRY entry; if (!ReadProcessMemory(hProcess, CONTAINING_RECORD(pCurrent, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks), entry, sizeof(entry), NULL)) { break; } // 读取模块名称 WCHAR nameBuf[MAX_PATH] { 0 }; if (entry.BaseDllName.Buffer entry.BaseDllName.Length 0) { if (ReadProcessMemory(hProcess, entry.BaseDllName.Buffer, nameBuf, min(entry.BaseDllName.Length, sizeof(nameBuf) - sizeof(WCHAR)), NULL)) { // 比较模块名 if (_wcsicmp(nameBuf, moduleName) 0) { return (DWORD_PTR)entry.DllBase; } } } // 移动到下一个模块 if (!ReadProcessMemory(hProcess, pCurrent-Flink, pCurrent, sizeof(pCurrent), NULL)) { break; } } return 0; } int _tmain(int argc, _TCHAR* argv[]) { if (argc 2) { _tprintf(_T(Usage: %s module_name\n), argv[0]); _tprintf(_T(Example: %s kernel32.dll\n), argv[0]); return 1; } DWORD_PTR baseAddr GetModuleBaseAddressFromPeb(GetCurrentProcess(), argv[1]); if (baseAddr ! 0) { _tprintf(_T(Module %s base address: 0x%p\n), argv[1], (void*)baseAddr); } else { _tprintf(_T(Module %s not found or error occurred.\n), argv[1]); } return 0; }4.3 方法优缺点分析优点不依赖高级API更难被检测可以获取更详细的模块信息适用于各种特殊场景缺点实现复杂需要适当权限不同Windows版本PEB结构可能有变化5. 实际应用中的注意事项在真实项目中使用这些技术时需要注意以下关键点5.1 32位与64位兼容性处理常见问题32位程序访问64位进程会失败指针大小在不同架构下不同结构体对齐方式可能不同解决方案// 使用条件编译处理不同架构 #ifdef _WIN64 typedef DWORD64 DWORD_PTR; #else typedef DWORD DWORD_PTR; #endif // 或者使用Windows定义的类型 #include BaseTsd.h typedef INT_PTR MyIntPtr;5.2 错误处理最佳实践必须检查的错误API调用返回值GetLastError()结果内存访问有效性健壮的错误处理示例HANDLE hProcess OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, pid); if (hProcess NULL) { DWORD err GetLastError(); if (err ERROR_ACCESS_DENIED) { _tprintf(_T(Access denied. Try running as administrator.\n)); } else { _tprintf(_T(Failed to open process. Error: %d\n), err); } return NULL; }5.3 性能优化技巧提高效率的方法缓存常用模块信息批量查询代替多次单次查询选择合适的API例如ToolHelp32比PSAPI更快性能对比表格方法速度内存使用适用场景GetModuleHandle最快最低当前进程已知模块ToolHelp32中等中等枚举所有模块PEB遍历最慢最高特殊需求场景6. 扩展应用基于基地址的实用技巧掌握模块基地址后可以实现许多强大功能6.1 导出函数地址计算// 获取函数地址示例 FARPROC GetFunctionAddress(HMODULE hModule, LPCSTR funcName) { PIMAGE_DOS_HEADER dosHeader (PIMAGE_DOS_HEADER)hModule; PIMAGE_NT_HEADERS ntHeaders (PIMAGE_NT_HEADERS)((BYTE*)hModule dosHeader-e_lfanew); PIMAGE_EXPORT_DIRECTORY exportDir (PIMAGE_EXPORT_DIRECTORY)( (BYTE*)hModule ntHeaders-OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); DWORD* functions (DWORD*)((BYTE*)hModule exportDir-AddressOfFunctions); WORD* ordinals (WORD*)((BYTE*)hModule exportDir-AddressOfNameOrdinals); DWORD* names (DWORD*)((BYTE*)hModule exportDir-AddressOfNames); for (DWORD i 0; i exportDir-NumberOfNames; i) { LPCSTR name (LPCSTR)((BYTE*)hModule names[i]); if (strcmp(name, funcName) 0) { return (FARPROC)((BYTE*)hModule functions[ordinals[i]]); } } return NULL; }6.2 模块内存补丁示例void PatchMemory(HMODULE hModule, DWORD offset, const BYTE* newData, size_t size) { // 计算目标地址 BYTE* targetAddr (BYTE*)hModule offset; // 修改内存保护 DWORD oldProtect; if (!VirtualProtect(targetAddr, size, PAGE_EXECUTE_READWRITE, oldProtect)) { return; } // 写入新数据 memcpy(targetAddr, newData, size); // 恢复内存保护 VirtualProtect(targetAddr, size, oldProtect, oldProtect); // 确保修改生效 FlushInstructionCache(GetCurrentProcess(), targetAddr, size); }6.3 模块注入检测技术bool IsModuleInjected(HMODULE hModule) { // 获取模块路径 TCHAR modPath[MAX_PATH]; if (!GetModuleFileName(hModule, modPath, MAX_PATH)) { return false; } // 检查是否在系统目录或已知合法路径 TCHAR sysDir[MAX_PATH]; GetSystemDirectory(sysDir, MAX_PATH); // 简单检查如果不在系统目录且不在程序目录可能是注入的 if (_tcsstr(modPath, sysDir) NULL) { TCHAR exePath[MAX_PATH]; GetModuleFileName(NULL, exePath, MAX_PATH); PathRemoveFileSpec(exePath); if (_tcsstr(modPath, exePath) NULL) { return true; } } return false; }

更多文章