Вместо GetProcAddress, вручную разбираю таблицу экспорта NTDLL на предмент нужных Native API. Алгоритм рабочий: гружу EXPORT ADDRESS TABLE и EXPORT NAME POINTER'S, в цикле перебираю имена по EXPORT NAME POINTER'S, если пасьянс сходится, из EXPORT ADDRESS TABLE достаю сырое смещение, накидываю module handle ну и получаю нужный адрес. Однако, одно НО: реальное текущее смещение в EXPORT ADDRESS TABLE съезжает вверх от текущего EXPORT NAME POINTER'S на 0xC (для XP-Vista) и 0x2C(для Win7). Одним словом если это не учитывать, получаем RVA другой функции. С чем связана такая несостыковка? (винда сортирует по имени?)

| Сообщение посчитали полезным:

алгоритм точно верный? перебираете AddressOfNames по именам и если совпало, то из AddressOfFunctions дёргаете элемент AddressOfNameOrdinals.


ничего не должно съезжать.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
ничего не должно съезжать.
Ну если корректно все дергается значит верный. (Хотя я два раза срезал: по Rtl префикса, затем до Zw. Однако срезал корректно)
1. adr := dwImageBase + AddressOfFunctions[AddressOfNameOrdinals[i]])
Но съезжает все таки! Причем едет с самой первого экспорта.
Я просто подумал: когда в Ольке смотриш, сортировка по имени - первыми идут функции с нижней чертой. Может таблица строится отправляя их в самый вниз.

| Сообщение посчитали полезным:

Хм, а вот так:

program Project1;

{$APPTYPE CONSOLE}

uses
Windows,
SysUtils;

var
FuncName: AnsiString;
pNtHeaders: PImageNtHeaders;
ExportAddr: TImageDataDirectory = (VirtualAddress: 0; Size: 0);
ImageBase: DWORD;
IED: PImageExportDirectory;
I: Integer;
FuntionAddr: DWORD;
NamesCursor: PDWORD;
OrdinalCursor: PWORD;
Ordinal: DWORD;
begin
ImageBase := GetModuleHandle('NTDLL.DLL');

if PWord(ImageBase)^ = IMAGE_DOS_SIGNATURE then
begin
// проверка заголовков
pNtHeaders := Pointer(ImageBase +
DWORD(PImageDosHeader(ImageBase)^._lfanew));
ExportAddr.VirtualAddress := 0;
ExportAddr.Size := 0;
if (pNtHeaders^.Signature = IMAGE_NT_SIGNATURE) and
(pNtHeaders^.FileHeader.Machine = IMAGE_FILE_MACHINE_I386) then
begin
// получаем указатель на таблицу экспорта
ExportAddr := pNtHeaders.OptionalHeader.DataDirectory[
IMAGE_DIRECTORY_ENTRY_EXPORT];
if ExportAddr.VirtualAddress <> 0 then
Inc(ExportAddr.VirtualAddress, ImageBase)
else
ExportAddr.Size := 0;
end;
end;

if (ImageBase = 0) or (ExportAddr.VirtualAddress = 0) then Exit;
IED := PImageExportDirectory(ExportAddr.VirtualAddress);
I := 1;
NamesCursor := Pointer(ImageBase + DWORD(IED^.AddressOfNames));
OrdinalCursor := Pointer(ImageBase + DWORD(IED^.AddressOfNameOrdinals));
while I < Integer(IED^.NumberOfNames) do
begin
// получаем имя функции
FuncName := PAnsiChar(ImageBase + PDWORD(NamesCursor)^);
// Смотрим номер функции в таблице ординалов
Ordinal := OrdinalCursor^ + IED^.Base;
// Через ординал вычисляем реальный адрес функции
FuntionAddr := ImageBase + DWORD(IED^.AddressOfFunctions);
FuntionAddr := ImageBase + PDWORD(FuntionAddr + (Ordinal - 1) * 4)^;
Writeln(FuncName, ' addr: 0x', IntToHex(FuntionAddr, 8));
Inc(I);
Inc(NamesCursor);
Inc(OrdinalCursor);
end;
Readln;
end.

| Сообщение посчитали полезным:

Rouse_
не delphi) асм вставка
вот так:

УТОЧНЕНИЕ: - СЪЕЗЖАТЬ НАЧИНАЕТ С НАЧАЛА ЭКСПОРТА И ДО... НАЧИНАЯ С Zw ВСЕ ПРАВИЛЬНО(во всяком случае на XP-Vista, на 7ке все равно уходит на 0xC вперед)

| Сообщение посчитали полезным:

Rouse_ пишет:
FuntionAddr := ImageBase + PDWORD(FuntionAddr + (Ordinal - 1) * 4)^;
Вместо "1" должно быть IED.Base

| Сообщение посчитали полезным:

Угу, пасиб, учту на будующее...

| Сообщение посчитали полезным:

Rouse_
Не - у тебя все правильно, это я уже гоню )

| Сообщение посчитали полезным:

ELF_7719116
ничего никуда не съезжает и никаких магических цифирек добавлять не надо, ищи ошибку у себя.

| Сообщение посчитали полезным:

Не может быть это проблема с выравниваем структур или настройками компиляции? И в СЯХ и в МАСМе парсование уже давным давно писал никаких проблем нету ...

| Сообщение посчитали полезным: