Можно воспользоваться HINSTANCE exe файла для поиска адреса функции?

Question

[sddvxd]

В инжектируемом файле я узнаю адрес функции

Могу ли я воспользоваться HINSTANCE процесса (exe) чтобы получить адрес функции?
Ведь exe файл имеет раздел со списком импортируемых DLL модулей и функций, а значит он должен знать местоположение этих функций?
Этот процесс: explorer.exe. Функция NtCreateFile
Понадобилось потому, что мне не найти, где эта функция находится (из DLL модулей)

Answer 1

[res2001]

NtCreateFile находится в NtDLL.dll
Думаю, что можно использовать LoadLibrary/GetProcAddress для загрузки библиотеки и адреса функции.

Comments

[sddvxd]

пытаюсь так достать:

pOrigMBAddress = (pNtCreateFile)
       GetProcAddress(GetModuleHandle("NtDLL.dll"),               // get address of original
               "NtCreateFile");

MinGW выдает: undefined reference to `NtCreateFile`

Хотя это код DLL, которой я встраиваю в explorer. Может MinGW надо как-то указывать, что эта функция не будет находится в области работы DLL?

[res2001]

sddvxd, Вообще, по моему, не нужно ее в ручную грузить.
Добавьте NtDLL в компиляцию вашей DLL (-lntdll) и можете напрямую использовать функции из нее. По любому ваша библиотека подгружается в процесс с помощью LoadLibrary, а она уже подключит все нужные библиотеки.