有没有可能获得函数的内存入口点？

Question

我使用 CreateProcess() 在我的进程中创建了一个子进程并挂起该子进程。我可以获取子进程内存中的主入口点，但是我应该如何获取子进程的函数入口点呢？

这就是我如何获取子进程的主要入口点

DWORD FindEntryPointAddress( TCHAR *exeFile )
{
  BY_HANDLE_FILE_INFORMATION bhfi;
  HANDLE hMapping;
  char *lpBase;

  HANDLE hFile = CreateFile(exeFile, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);

  if (hFile == INVALID_HANDLE_VALUE)
    ;

  if (!GetFileInformationByHandle(hFile, &bhfi))
    ;

  hMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, bhfi.nFileSizeHigh, bhfi.nFileSizeLow, NULL);

  if (!hMapping)
    ;

  lpBase = (char *)MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, bhfi.nFileSizeLow);

  if (!lpBase)
    ;

  PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)lpBase;

  if (dosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    ;

  PIMAGE_NT_HEADERS32 ntHeader = (PIMAGE_NT_HEADERS32)(lpBase + dosHeader->e_lfanew);

  if (ntHeader->Signature != IMAGE_NT_SIGNATURE)
    ;

  DWORD pEntryPoint = ntHeader->OptionalHeader.ImageBase + ntHeader->OptionalHeader.AddressOfEntryPoint;

  UnmapViewOfFile((LPCVOID)lpBase);

  CloseHandle(hMapping);

  CloseHandle(hFile);

  printf( "test.exe entry point: %p\n", pEntryPoint );

  return pEntryPoint;
} // FindEntryPointAddress()

，我应该如何获取子进程的函数 foo() 入口点？

像这样的子进程

void foo()
{
  char str[10];
  strcpy( str, "buffer\n" );
} // foo()

int main()
{
  foo();
  return 0;
} // main()

Answer 1

有人会问——为了什么？如果您想运行子进程，CreateProcess() 会为您执行此操作。从任意函数运行该进程毫无意义；由于 RTL 不会被初始化，因此该进程很可能崩溃。

如果您想为创建者进程调用函数或从创建者进程调用函数，则可以使用 LoadLibrary()/GetProcAddress()。 CreateProcess() 是完全不同的东西。

如果您想根据单个函数进行调试，则可以解析 MAP 文件和/或调试符号。如果该函数恰好是全局且导出的，则解析 PE 导出表可能会有所帮助。

另外，在现代编译器中，编译时函数在 EXE 文件中可能没有明确的入口点。内联等等。

Answer 2

我很久以前就做过类似的事情，但记不太清了，所以这可能会失败。但我相信你可以从 SymFromName 如果有足够的符号信息。或者，如果是导出的，只需通过 GetProcAddress。

要修补入口点，您可以通过 PE 标头对入口点进行静态修补，或者在运行进程后暂停该进程并通过 SetThreadContext。

Answer 3

在子进程程序的 .DEF 文件中使用 EXPORTS，
那么你的程序就可以搜索IAT表来找到地址。

您还可以搜索代码以查找设置帧指针的指令，
然后找到一个可能的切入点。
但您不能完全信任该地址。