как узнать какой dll загружен по определенному адресу

Допустим, есть адрес указывающий на код загруженный из dll библиотеки. Как можно узнать имя библиотеки (т.е., имя dll и, желательно, путь к нему)?

 

Спуститься вниз, ища сигнатуру PE фаила.
Потом посмотреть имя dll.
Почитай про пе-фаилы.

 

GetModuleFileName. Чтобы найти базовый адрес загрузки - посмотри статьи в разделе вирусология.

 

SammIk хаха))) и где это в ПЕ указано имя дллки?

 

agent007
в секции экспорта, вроде, если она, конечно, присутствует

 

agent007
А ты спецификацию прочти=)
В экспорте должно быть поле где указано имя длл.
ртфм, как говориться.
Поюзай ПЕтулз.
Выдержка:

Код (Text):

1. [5.1] Таблица экспорта (Export Directory Table)
2. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3.    Информация экспорта начинается с Export Directory Table,  которая  описывает
4. требуемую экспортную  информацию.  Export  Directory  Table  содержит  адресную
5. информацию используемую при  развязке  настраиваемых  ссылок  в  внешние  точки
6. входа внутри программы.
7.                                                          Export Directory Table
8.                                                          ~~~~~~~~~~~~~~~~~~~~~~
9. +=====+=======+=======================+=====+=================================+
10. |     | Size  |                       |Com- |                                 |
11. |Base |  or   |     Name Of field     |ments|       Brief description         |
12. |     | Type  |                       |     |                                 |
13. +=====+=======+=======================+=====+=================================+
14. #################[b]ВОТ[/b]####################################
15. +-----+-------+-----------------------+-----+---------------------------------+
16. | 0Ch | DWord | Name RVA              | No  | RVA строки указывающей на имя   |
17. |     |       |                       |     | нашей библиотеки                |
18. +-----+-------+-----------------------+-----+---------------------------------+
19. #############################################################

 

ну так чуваку навена надо имя под которым длл была загружена...

 

Кстати, если говорить об этом поле в таблице экспорта, то в документации про него сказано мало.

Какие есть соображения о цели его существования? И обязано ли оно быть идентичным имени длл? Из опыта- у меня и с другим содержимым этого поля длл грузились, но вот на чём это может сказаться? Да и вообще, это поле рудимент?

 

попробуй вызвать GetModuleFileName, хэндл это ж и есть смещение в памяти MZ хидера

 

в общем... пробегаемся в PEB по модулям, сравниваем адрес загрузки -> получаем имя длл, в юникоде правда.... Можно таким образом по всем процессам прогуляцо

 

[опередил)]
GetModuleFileName на сколько я понял дёргает из peb'a и тому подобных структур.
/ну у кого-нибудь есть соображения по поводу предыдущего моего поста?/

 

Tlhelp32 или PSAPI и сравнение >imagebase <imagebase+imagesize

 

в тему: http://www.wasm.ru/forum/viewtopic.php?id=18431&p=1

 

PE_Kill
Ой ... не заметил твой ответ. Именно то что нужно. Спасибо!

 

я знаю, что я нарк, но: PEB->LoaderData->InLoadOrderModuleList.
аналог GetModuleFileName, но с приключениями на свои вторые 90 =))