您的位置:首页 > 编程语言

如何从PIMAGE_IMPORT_DESCRIPTOR节,得到某个API函数(导入函数)代码地址

2008-04-24 00:02 357 查看
//功能:得到某个API函数(导入函数)代码地址
//参数:
//pImport: PIMAGE_IMPORT_DESCRIPTOR
//pProcName: 函数名或序号

const FARPROC GetFunctionFARPROC(
PIMAGE_IMPORT_DESCRIPTOR pImport, LPCSTR pProcName)
{
 PIMAGE_THUNK_DATA pThunk;

 pThunk = (PIMAGE_THUNK_DATA) RVA2Ptr(pImport->
  OriginalFirstThunk);

 for (int i=0; pThunk->u1.Function; i++)
 {
  bool match;

  if ( pThunk->u1.Ordinal & 0x80000000 ) // by ordinal
   match = (pThunk->u1.Ordinal & 0xFFFF) ==
            ((DWORD) pProcName);
  else
   match = stricmp(pProcName, RVA2Ptr((unsigned)
            pThunk->u1.AddressOfData)+2) == 0;

  if ( match )
   return (FARPROC)*((unsigned *) RVA2Ptr(pImport->FirstThunk)+i);
  //pImport->FirstThunk:
  //该字段是指向一32位以00结束的RVA偏移地址串,此地址串中每个地址描述一个输入函数(函数在内存中的地址的地址),
  //它在输入表中的顺序是可变的。 
  pThunk ++;
 }

 return NULL;
}

 
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  descriptor import api null
相关文章推荐
新的分享
章节导航