如何在Win32中从func ptr获取模块句柄?
我正在为虚拟机开发本机调用绑定,其中一个功能是能够在运行时按名称查找标准libc函数。在windows上,这变得有点麻烦,因为我需要获取进程中当前加载的msvcrt模块的句柄。通常这是msvcrt.dll,但也可能是其他变体(msvcr100.dll等),如果使用具有不同名称的变体,则调用GetModuleHandle(“msvcrt”)可能会失败 我希望能够做的是反向查找,从libc(我有很多)获取函数指针,并获得提供它的模块的句柄。基本上是这样的:如何在Win32中从func ptr获取模块句柄?,c,winapi,C,Winapi,我正在为虚拟机开发本机调用绑定,其中一个功能是能够在运行时按名称查找标准libc函数。在windows上,这变得有点麻烦,因为我需要获取进程中当前加载的msvcrt模块的句柄。通常这是msvcrt.dll,但也可能是其他变体(msvcr100.dll等),如果使用具有不同名称的变体,则调用GetModuleHandle(“msvcrt”)可能会失败 我希望能够做的是反向查找,从libc(我有很多)获取函数指针,并获得提供它的模块的句柄。基本上是这样的: HANDLE hlibc = Revers
HANDLE hlibc = ReverseGetModuleHandle(fprintf); // Any func from libc should do the trick
void *vfunc = GetProcAddress(hlibc);
在win32 API中是否存在这样一种情况,而不需要手动遍历进程句柄和符号表?相反,如果我仔细考虑了这个问题,是否有更简单的方法在win32上按名称查找libc函数?不幸的是,您将不得不像担心的那样遍历模块。不过也不算太糟。下面是一些用记事本编写的代码:
MEMORY_BASIC_INFORMATION mbi;
HMODULE mod;
if (VirtualQuery( vfunc, &mbi, sizeof(mbi) ))
{
mod = (HMODULE)mbi.AllocationBase;
}
MODULEENTRY32 me = {0};
HANDLE hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPMODULE, 0 );
me.dwSize = sizeof me;
Module32First( hSnapshot, &me );
if( me.modBaseAddr <= funcPtr &&
( me.modBaseAddr + me.modBaseSize ) > funcPtr ) {
...
break;
}
do {
} while( Module32Next( hSnapshot, &me ) );
CloseHandle( hSnapshot );
MODULEENTRY32 me={0};
HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS\u SNAPMODULE,0);
me.dwSize=me的大小;
模块32第一(hSnapshot和me);
if(me.modBaseAddr funcPtr){
...
打破
}
做{
}while(Module32Next(hSnapshot和me));
闭合手柄(hSnapshot);
这是从代码地址查找模块句柄的一个众所周知的快捷方式。模块句柄可以追溯到16位版本的Windows,在32位和64位版本的Windows上,模块句柄只是内存分配的基址。我从未见过这种方法会失败,并且在我的代码中使用相同的技巧。这种方法确实有效,至少在我尝试过的几个windows变体上是如此。我不喜欢它没有很好的文档化,但是我已经在我的代码中填入了描述它的功能的注释,我只希望是最好的。谢谢文件化的方式是存在的。看看我的答案。
HMODULE hModule = NULL;
if(GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS |
GET_MODULE_HANDLE_EX_FLAG_UNCHANGED_REFCOUNT, // behave like GetModuleHandle
(LPCTSTR)address, &hModule))
{
// hModule should now refer to the module containing the target address.
}