F.Remplacer GetProcAddress par une fonction custom

Inside Windows: Win32 Portable Executable File Format in DetailMicrosoftLearn

matt pietrek microsoft

Homeempyreal96.github.io

Optimizing Windows Function Resolving: A Case Study Into GetProcAddress - phasetw0phasetw0.com

Portable Executable File Formatkjk

IMAGE_DOS_HEADER DissectingMedium

Théorie :

Pour pouvoir coder de manière custom la fonction GetProcAdress il faut avoir une bonne connaissance de la structure d'un PE File. Différent lien sont présent sur cette page permettant de décrire un PE file et comment grâce à cette description il est possible de récupérer l'adresse d'une fonction présente dans une DLL :

Dans la capture d'écran précédente on voit qu'on a localisé à l'aide de PE bear NtAllocateVirtualMemory et son RVA dans l'exported Function.

Cette ressource se trouve dans l'optional Header qui se trouve lui même dans le NT Headers :

Il faut donc d'abord trouver un moyen pour accéder à NT Headers :

HMODULE ntdll = GetModuleHandleA("ntdll.dll");
IMAGE_DOS_HEADER *img_dos_header = (IMAGE_DOS_HEADER*)ntdll;

IMAGE_DOS_HEADER est une structure qui nous permet de récupérer un pointeur vers le PE Header de notre DLL ici ntdll.dll.

Une fois cela fait il faut accéder à NT_Header pour ce faire on aura besoin de la valeur e_lfanew qui se trouve dans la structure précedente et qui est en réalité l'offset pour accéder à NT Header.

IMAGE_NT_HEADERS64 *nt_header = (IMAGE_NT_HEADERS64 *)((BYTE *) ntdll + img_dos_header->e_lfanew);

Une fois qu'on a récupérer le NT_Header il faut avoir accès à l'optional Header :

typedef struct _IMAGE_NT_HEADERS {
      DWORD Signature;
      IMAGE_FILE_HEADER FileHeader;
      IMAGE_OPTIONAL_HEADER32 OptionalHeader;
    } IMAGE_NT_HEADERS32,*PIMAGE_NT_HEADERS32;

Pour y avoir accès il suffit de faire cela :

IMAGE_OPTIONAL_HEADER64 *optional_header = &nt_header->OptionalHeader;

Après ça il reste à accéder aux exported function qui se situe dans Data Directory :

typedef struct _IMAGE_OPTIONAL_HEADER {

      WORD Magic;
      BYTE MajorLinkerVersion;
      BYTE MinorLinkerVersion;
      DWORD SizeOfCode;
      DWORD SizeOfInitializedData;
      DWORD SizeOfUninitializedData;
      DWORD AddressOfEntryPoint;
      DWORD BaseOfCode;
      DWORD BaseOfData;
      DWORD ImageBase;
      DWORD SectionAlignment;
      DWORD FileAlignment;
      WORD MajorOperatingSystemVersion;
      WORD MinorOperatingSystemVersion;
      WORD MajorImageVersion;
      WORD MinorImageVersion;
      WORD MajorSubsystemVersion;
      WORD MinorSubsystemVersion;
      DWORD Win32VersionValue;
      DWORD SizeOfImage;
      DWORD SizeOfHeaders;
      DWORD CheckSum;
      WORD Subsystem;
      WORD DllCharacteristics;
      DWORD SizeOfStackReserve;
      DWORD SizeOfStackCommit;
      DWORD SizeOfHeapReserve;
      DWORD SizeOfHeapCommit;
      DWORD LoaderFlags;
      DWORD NumberOfRvaAndSizes;
      IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // Ce qu'on veut
    } IMAGE_OPTIONAL_HEADER32,*PIMAGE_OPTIONAL_HEADER32;

Donc on souhaite accéder à l'export directory présent dant le tableau Data Directory :

IMAGE_DATA_DIRECTORY *data_directory = &optional_header->DataDirectory[0]; //ici on met 0 car on accède à l'élément export directory

On a une référence vers Export Directory (ce qui est en réalité pas vrai) et désormais on doit récupérer le RVA (Relative Adress) qui est globalement un offset qu'on doit récupérer pour pouvoir par la suite réellement pointer vers l'Export Directory.

   typedef struct _IMAGE_DATA_DIRECTORY {
      DWORD VirtualAddress;
      DWORD Size;
    } IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;

Donc on récupère le RVA :

data_directory->VirtualAddress;
printf("\n RVA : %X \n", data_directory->VirtualAddress);

On obtient la même valeur qu'on avait identifié sur PE-Bear :

Désormais on sait que le RVA est en réalité un offset, on va donc faire l'opération suivante pour accéder à l'export directory :

    typedef struct _IMAGE_EXPORT_DIRECTORY {
      DWORD Characteristics;
      DWORD TimeDateStamp;
      WORD MajorVersion;
      WORD MinorVersion;
      DWORD Name;
      DWORD Base;
      DWORD NumberOfFunctions;
      DWORD NumberOfNames;
      DWORD AddressOfFunctions;
      DWORD AddressOfNames;
      DWORD AddressOfNameOrdinals;
    } IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY;

Accès Export directory :

IMAGE_EXPORT_DIRECTORY *export_directory = (IMAGE_EXPORT_DIRECTORY *)((BYTE * )ntdll + data_directory->VirtualAddress);

Donc on récupère un pointeur vers l'export Directory et si on compare la structure précédente avec ce qu'on a sur PE Bear on a la même définition :

Désormais ce qui nous intéresse c'est les exported function, qui se trouve 4 octet "plus loin" que AdressOfNameOrdinals.

Finalement quand on regarde le screen précédent nous on veut boucler à partir de 1B8138 et pour accéder à la valeur de cette offset il faut accéder à la valeur AdressOfFunctions (En réalisé on va avoir besoin des valeurs de AdressOfFunctions , Adressofname, Adressofordinal car on ne peut pas boucler directement, l'affirmation que j'ai faite était basé sur une première compréhension et l'idée de bouclé mais en realité chaque colonne qu'on voit sur PE Bear represente un tableau unique):

printf("Adress of name ordinal %X\n", export_directory->AddressOfFunctions);

Il faut désormais récupérer // Le tableau des noms (colonne Name) le tableau des ordinaux (colonne ordinal) et le tableau des adresses (colonne offset) pour pouvoir accéder à chacune de leurs valeurs ce qui nous permettra de récupérer l'adresse de la fonction (en réalité un offset) et le nom :

// Le tableau des noms (ENT : Export Name Table)
DWORD* name_table = (DWORD*) ((BYTE *) ntdll + export_directory->AddressOfNames);

// Le tableau des ordinaux (EOT : Export Ordinal Table)
WORD* ordinal_table = (WORD*) ((BYTE *) ntdll + export_directory->AddressOfNameOrdinals); // un ordinal a une valeur de 16 bits

// Le tableau des adresses (EAT : Export Address Table)
DWORD* function_table = (DWORD*) ((BYTE *) ntdll + export_directory->AddressOfFunctions);

On déclare un WORD pour le tableau des ordinaux car un ordinal a une taille de 16 bits donc 2 octet donc un WORD :

Par exemple si on veut accéder à la valeur des ordinaux, on fait :

printf("ordinal_table %d", ordinal_table[1]);

Sauf que la valeur indiqué ne correspond pas à la valeur présente sur PE-BEAR.

Faisons le test pour le tableau name_table :

Donc au final, on récupère en réalité le name RVA, donc encore une Relative Adress donc un offset, alors pour récupérer finalement le nom, on fait :

(BYTE * )ntdll +  name_table[1])

Ok donc l'idée va être donc de boucler sur tout les noms et de la comparer avec le nom de fonction qu'on veut pour se faire on dispose d'une information importante le nombre de fonction qui nous permet d'avoir notre range dans la boucle (en gros là taille de notre boucle) :

    typedef struct _IMAGE_EXPORT_DIRECTORY {
      DWORD Characteristics;
      DWORD TimeDateStamp;
      WORD MajorVersion;
      WORD MinorVersion;
      DWORD Name;
      DWORD Base;
      DWORD NumberOfFunctions; // Ce qu'on veut 
      DWORD NumberOfNames; 
      DWORD AddressOfFunctions;
      DWORD AddressOfNames;
      DWORD AddressOfNameOrdinals;
    } IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY;

Alors on a le code suivant :

int nombre_de_function = export_directory->NumberOfFunctions;
printf("Nombre de fonction : %d \n",nombre_de_function);

for(int i = 0; i < nombre_de_function; i++){
    char *nom_fonction = (BYTE * )ntdll +  name_table[i];
    if(strcmp("NtAllocateVirtualMemory",nom_fonction) == 0){
        printf("Reussi à trouver %s \n",nom_fonction);
        printf("Function RVA %X\n", function_table[i]);
    }

}

On a réussi à trouver :

On voit bien qu'on obtient les bonnes valeurs, désormais pour avoir l'adresse il reste une dernière opération à réaliser car on a pour le moment obtenu que un RVA donc un offset :

Ainsi on :

FARPROC adresse_ntallocatevirtualmemory = (FARPROC) (BYTE * )ntdll + function_table[i];
printf("Adresse de la fonction NtAllocateVirtualMemory %p",adresse_ntallocatevirtualmemory);

Donc en vrai le tableau ordinal ne sert à rien dans mon cas. Ce qui donne au final le code suivante complet :

#include <windows.h>
#include <stdio.h>
#include <winnt.h>
#include <winternl.h>
/*FARPROC GetProcAdressCustom(HMODULE hModule, LPCSTR lpProcName){

}
*/

int main(){

/* L'objectif est de pouvoir récupérer le RVA de la fonction qu'on souhaite (en gros le relative value adress qui 
   est en gros un offset qu'on récupére) et qui est présent dans la partie Export de la DLL
    
*/

HMODULE ntdll = GetModuleHandleA("ntdll.dll");

printf("Adresse ntdll %p \n",ntdll);

IMAGE_DOS_HEADER *img_dos_header = (IMAGE_DOS_HEADER*)ntdll;
printf("MZ DOS : %X \n",img_dos_header->e_magic);
printf("Adresse de image dos header :%p \n", ntdll);


/*
typedef struct _IMAGE_DOS_HEADER {  // DOS .EXE header
    USHORT e_magic;         // Magic number
    USHORT e_cblp;          // Bytes on last page of file
    USHORT e_cp;            // Pages in file
    USHORT e_crlc;          // Relocations
    USHORT e_cparhdr;       // Size of header in paragraphs
    USHORT e_minalloc;      // Minimum extra paragraphs needed
    USHORT e_maxalloc;      // Maximum extra paragraphs needed
    USHORT e_ss;            // Initial (relative) SS value
    USHORT e_sp;            // Initial SP value
    USHORT e_csum;          // Checksum
    USHORT e_ip;            // Initial IP value
    USHORT e_cs;            // Initial (relative) CS value
    USHORT e_lfarlc;        // File address of relocation table
    USHORT e_ovno;          // Overlay number
    USHORT e_res[4];        // Reserved words
    USHORT e_oemid;         // OEM identifier (for e_oeminfo)
    USHORT e_oeminfo;       // OEM information; e_oemid specific
    USHORT e_res2[10];      // Reserved words
    LONG   e_lfanew;        // File address of new exe header a 4-byte offset into the file where the PE file header is located. 
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
*/

// NT file header se retrouve en prenant ntdll adress + l'offset e_lfanew avec la structure IMAGE_NT_HEADERS = PE Header

printf("e_fanex %x \n", img_dos_header->e_lfanew);

IMAGE_NT_HEADERS64 *nt_header = (IMAGE_NT_HEADERS64 *)((BYTE *) ntdll + img_dos_header->e_lfanew);
printf("nt_header %p",nt_header);

/* Optional Header */

IMAGE_OPTIONAL_HEADER64 *optional_header = &nt_header->OptionalHeader;   

/* Accès aux DataDirectory pour avoir accès ensuite à l'exported function*/

/*
  typedef struct _IMAGE_DATA_DIRECTORY {
      DWORD VirtualAddress;
      DWORD Size;
    } IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;
*/

IMAGE_DATA_DIRECTORY *data_directory = &optional_header->DataDirectory[0]; //ici on met 0 car on accède à l'élément export directory

printf("\n RVA : %X \n", data_directory->VirtualAddress);

/* Exported Directory

     typedef struct _IMAGE_EXPORT_DIRECTORY {
      DWORD Characteristics;
      DWORD TimeDateStamp;
      WORD MajorVersion;
      WORD MinorVersion;
      DWORD Name;
      DWORD Base;
      DWORD NumberOfFunctions;
      DWORD NumberOfNames;
      DWORD AddressOfFunctions;
      DWORD AddressOfNames;
      DWORD AddressOfNameOrdinals;
    } IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY;
*/

IMAGE_EXPORT_DIRECTORY *export_directory = (IMAGE_EXPORT_DIRECTORY *)((BYTE * )ntdll + data_directory->VirtualAddress);

printf("Adresse export directory : %p", export_directory);

printf("\n Adress of function %X\n", export_directory->AddressOfFunctions);

// Le tableau des noms (ENT : Export Name Table)
DWORD* name_table = (DWORD*) ((BYTE *) ntdll + export_directory->AddressOfNames);

// Le tableau des ordinaux (EOT : Export Ordinal Table)
WORD* ordinal_table = (WORD*) ((BYTE *) ntdll + export_directory->AddressOfNameOrdinals); // un ordinal a une valeur de 16 bits

// Le tableau des adresses (EAT : Export Address Table)
DWORD* function_table = (DWORD*) ((BYTE *) ntdll + export_directory->AddressOfFunctions);

printf("name table %p \n",name_table);
printf("ordinal_table  %p \n",ordinal_table);
printf("function_table  %p \n",function_table);


printf("name table %X \n", name_table[1]);
printf("nom de la fonction %s\n", ((BYTE * )ntdll +  name_table[1]));


int nombre_de_function = export_directory->NumberOfFunctions;
printf("Nombre de fonction : %d \n",nombre_de_function);

for(int i = 0; i < nombre_de_function; i++){
    char *nom_fonction = (BYTE * )ntdll +  name_table[i];
    if(strcmp("NtAllocateVirtualMemory",nom_fonction) == 0){
        printf("Reussi à trouver %s \n",nom_fonction);
        printf("Function RVA %X\n", function_table[i]);
        FARPROC adresse_ntallocatevirtualmemory = (FARPROC) (BYTE * )ntdll + function_table[i];
        printf("Adresse de la fonction NtAllocateVirtualMemory %p",adresse_ntallocatevirtualmemory);
        break;
    }

}
    return 0;
}

Bon quand on compare on a pas exactement la bonne valeur, ça c'est à cause du fait que je n'utilise pas le tableau ordinal car je pensais qu'il ne servait à rien, grosse erreur.

Explication :

Dans une DLL, le tableau des noms est trié par alphabet, alors que le tableau des adresses est rangé selon l'ordre du compilateur. L'ordinal est l'unique lien entre les deux. Ainsi on a :

La formule à retenir :

Index Réel = ordinal_table[index_du_nom] RVA = function_table[Index_Réel]

En résumé : Sans l'ordinal, on récupères l'adresse d'une fonction au hasard car les noms et les adresses ne sont pas alignés.

Ainsi le code corrigé est le suivant :

int nombre_de_function = export_directory->NumberOfFunctions;
printf("Nombre de fonction : %d \n",nombre_de_function);

for(int i = 0; i < nombre_de_function; i++){
    char *nom_fonction = (BYTE * )ntdll +  name_table[i];
    if(strcmp("NtAllocateVirtualMemory",nom_fonction) == 0){
        printf("Reussi à trouver %s \n",nom_fonction);
        printf("Function RVA %X\n", function_table[i]);

        WORD index_reel = ordinal_table[i]; //correction
        DWORD functionRVA = function_table[index_reel]; //correction

        FARPROC adresse_ntallocatevirtualmemory = (FARPROC) (BYTE * )ntdll + functionRVA;
        printf("Adresse de la fonction NtAllocateVirtualMemory %p\n",adresse_ntallocatevirtualmemory);
        break;
    }

}

Ainsi on a corrigé et on arrive à récupérer la bonne adresse. Voici désormais la version généralisé de la fonction :

FARPROC GetProcAddressCustom(HMODULE hModule, LPCSTR lpProcName) {
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((BYTE*)hModule + pDosHeader->e_lfanew);
    
    IMAGE_DATA_DIRECTORY exportDataDir = pNtHeaders->OptionalHeader.DataDirectory[0];
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE*)hModule + exportDataDir.VirtualAddress);

    DWORD* pNameTable     = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfNames);
    DWORD* pFunctionTable = (DWORD*)((BYTE*)hModule + pExportDir->AddressOfFunctions);
    WORD* ordinal_table = (WORD*) ((BYTE *) hModule + pExportDir->AddressOfNameOrdinals); // un ordinal a une valeur de 16 bits


    for (int i = 0; i < pExportDir->NumberOfFunctions; i++) {
            char* szFunctionName = (char*)((BYTE*)hModule + pNameTable[i]);
                // Si le nom correspond, on a trouvé l'adresse à l'index 'i'
            if (strcmp(lpProcName, szFunctionName) == 0) {
                WORD index_reel = ordinal_table[i];
                DWORD functionRVA = pFunctionTable[index_reel];

                return (FARPROC)((BYTE*)hModule + functionRVA);
            }
            
    }

    return NULL;
}

Boom, on a enfin réussi ^^.

Note : Je dois revoir la rédaction et corriger le contenu car celui-ci a été écrit à différents moment de compréhension mais la manière de procéder pour coder from scratch la fonction est la bonne, tout les articles sur internet que j'ai lu donné la fonction sans rentrer dans le détails, là désormais j'ai une bonne compréhension grâce à l'utilisation de PE bear et aux différents échecs survenu.

En réalité ce n'est pas terminé car ma fonction custom ne couvre pas tout les cas. Si je tente par exemple de récupérer la fonction HeapAlloc dans Kernel32.dll je remarque que l'adresse renvoyé n'est pas la bonne :

Ainsi il faut debug et pour ce faire j'utilise PE Bear pour comparer ntdll et kernel32 pour identifier ce qui diffère :

Je remarque que sur ntdll.dll la colonne forwarder était vide tandis que pour kernel32.dll celle-ci ne l'ai pas pour la fonction HeapAlloc.

Cherchons à comprendre qu'est ce qu'un forwarder :

Export Address Table and DLL HijackingMalwareID Unpacking Guide

Pour la faire simple, un forwarder permet de dire, pour appeller cette fonction utilise plutôt la fonction présente dans tels DLL et dans cette DLL utilise tels fonction.

En gros, pour notre cas ntdll expose on va dire des fonctions qui sont général et réutilisé par d'autre DLL. Donc ici le HeapAlloc est en réalité remplacé par la fonction RtlAllocHeap

Ainsi j'ai modifié mon code pour géré ce cas :

FARPROC GetProcAddressCustom(HMODULE hModule, LPCSTR lpProcName)
{
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hModule + pDosHeader->e_lfanew);

    IMAGE_DATA_DIRECTORY exportDataDir = pNtHeaders->OptionalHeader.DataDirectory[0];
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE *)hModule + exportDataDir.VirtualAddress);

    DWORD *pNameTable = (DWORD *)((BYTE *)hModule + pExportDir->AddressOfNames);
    DWORD *pFunctionTable = (DWORD *)((BYTE *)hModule + pExportDir->AddressOfFunctions);
    WORD *ordinal_table = (WORD *)((BYTE *)hModule + pExportDir->AddressOfNameOrdinals); // un ordinal a une valeur de 16 bits

    for (int i = 0; i < pExportDir->NumberOfFunctions; i++)
    {
        char *szFunctionName = (char *)((BYTE *)hModule + pNameTable[i]); 
        // Si le nom correspond, on a trouvé l'adresse à l'index 'i'
        if (strcmp(lpProcName, szFunctionName) == 0)
        {
            printf("Nom de la fonction trouve : %s\n", szFunctionName);
            WORD index_reel = ordinal_table[i];
            DWORD functionRVA = pFunctionTable[index_reel];

            BYTE *r = (BYTE *)hModule + functionRVA;

            printf("r valeur string %s", r);

            // On cast en char* pour que strchr puisse le lire comme une string
            if (strchr((char *)r, '.') != NULL)
            {
                // Si on trouve un point, c'est un forwarder normalement (ex: NTDLL.RtlAlloc)
                printf("C'est un forwarder detecte par le point : %s\n", (char *)r);
                char *forwarder = (char *)r; // ex: "NTDLL.RtlAllocateHeap"
                char dll[250];
                char *dot_and_function = strchr(forwarder, '.');

                printf("Dot value : %s\n",dot_and_function);

                // 1. Isoler la DLL (avant le point) et ajouter .dll
                snprintf(dll, sizeof(dll), "%.*s.dll", (int)(dot_and_function - forwarder), forwarder);

                // 2. Isoler la fonction (après le point)
                char *func = dot_and_function + 1;

                printf("Nom de la dll : %s et nom de la fonction %s",dll,func);
                
                HMODULE dll_module = GetModuleHandleA(dll); // à remplacer par la version custom

                return GetProcAddressCustom(dll_module,(LPCSTR)func);

            }
            else
            {
                // Pas de point trouvé, c'est probablement du code binaire
                printf("C'est une fonction reelle (pas de point dans le code)\n");
                return (FARPROC)((BYTE *)hModule + functionRVA);

            }
        }
    }

    return NULL;
}

Ca fonctionne mais c'est vraiment une manière de faire qui n'est pas du tout propre.

Pour faire de la bonne manière il faut remarqué plusieurs choses sur PE bear :

Les fonctions non forwarder sont présente dans la section bleu donc la section text et les fonctions forwarder dans la section verte :

Donc il faut trouver un moyen de faire ce check mais on peut remarquer autre choses, toutes les function RVA des fonctions forwarder sont compris entre le début de l'adresse de l'export directory et l'export directory + la size donc entre A4B60 et (A4B60 + EC4C)

Effectivement comme le montre la figure suivante :

Donc ça donne le code suivant :

FARPROC GetProcAddressCustom(HMODULE hModule, LPCSTR lpProcName)
{
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hModule;
    PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hModule + pDosHeader->e_lfanew);

    IMAGE_DATA_DIRECTORY exportDataDir = pNtHeaders->OptionalHeader.DataDirectory[0];
    PIMAGE_EXPORT_DIRECTORY pExportDir = (PIMAGE_EXPORT_DIRECTORY)((BYTE *)hModule + exportDataDir.VirtualAddress);

    DWORD *pNameTable = (DWORD *)((BYTE *)hModule + pExportDir->AddressOfNames);
    DWORD *pFunctionTable = (DWORD *)((BYTE *)hModule + pExportDir->AddressOfFunctions);
    WORD *ordinal_table = (WORD *)((BYTE *)hModule + pExportDir->AddressOfNameOrdinals); // un ordinal a une valeur de 16 bits

    // On définit les bornes de la section Export pour identifier les Forwarders
    DWORD expStart = exportDataDir.VirtualAddress;
    DWORD expEnd = expStart + exportDataDir.Size;

    for (int i = 0; i < pExportDir->NumberOfFunctions; i++)
    {
        char *szFunctionName = (char *)((BYTE *)hModule + pNameTable[i]);
        // Si le nom correspond, on a trouvé l'adresse à l'index 'i'
        if (strcmp(lpProcName, szFunctionName) == 0)
        {
            WORD index_reel = ordinal_table[i];
            DWORD functionRVA = pFunctionTable[index_reel];

            printf("Function RVA value : %X \n", functionRVA);
            // Test structurel : si la RVA pointe DANS la table d'export, c'est du texte (Forwarder)
            if (functionRVA >= expStart && functionRVA < expEnd)
            {
                printf("C'est un forwarder\n");
                char *forwarder = (char *)((BYTE *)hModule + functionRVA);
                char dll[250];
                char *dot_and_function = strchr(forwarder, '.');

                printf("Dot value : %s\n", dot_and_function);

                // 1. Isoler la DLL (avant le point) et ajouter .dll
                snprintf(dll, sizeof(dll), "%.*s.dll", (int)(dot_and_function - forwarder), forwarder);

                // 2. Isoler la fonction (après le point)
                char *func = dot_and_function + 1;

                printf("Nom de la dll : %s et nom de la fonction %s", dll, func);

                HMODULE dll_module = GetModuleHandleA(dll); // à remplacer par la version custom
                return GetProcAddressCustom(dll_module, (LPCSTR)func);


            }
            else
            {
                return (FARPROC)((BYTE *)hModule + functionRVA);
            }
        }
    }

    return NULL;

Ainsi s'achève le développement custom de la fonction getprocadress

PreviousE.Remplacer GetModuleHandle par une fonction custom NextG.Utilise un technique d'API Hashing pour résoudre les addresses des fonctions de NTDLL

Last updated 28 days ago

hashtagThéorie :

hashtagExplication :

Théorie :

Explication :