kernel32基地址获得学习笔记

最新推荐文章于 2021-05-06 00:24:01 发布
最新推荐文章于 2021-05-06 00:24:01 发布
阅读量7.1k 收藏 4
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ProgrammingRing/article/details/11357393
版权
本文详细介绍了获取kernel32.dll基地址的三种方法:通过线程初始化堆栈、遍历SEH异常链以及通过TEB和PEB结构。其中,第一种方法适用于早期程序,第二种方法在XP系统中有效,而在Win7系统中需要考虑ntdll.dll,第三种方法通用但涉及Windows内部结构的深入理解。
摘要由CSDN通过智能技术生成

原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题

第一种方法

通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。

线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是
程序入口点处)通过获得堆栈指针中ExitThread函数(当然你要想创建一个线程时候获得也可以)

我们直接通过
mov  edx, [esp] ;获得堆栈指针中ExitThread地址到edx寄存器。因为ExitThread地址在kernel32.dll空间中,所以我们可以通过它往上搜索来获得基地址。

分析过kernel32.dll的朋友应该都知道kernel32.dll的块对齐值是00001000h, 并且一般DLL以1M为边界,所以我们可以通过10000h (64k) 作为跨度,这样可以增加搜索速度。我们如何确定这个地址是基地址,我们都知道我们判断这个地址的前两个字节是否是"MZ",然后定位到PE头结构,然后判断是否是"PE",如果这两个都符合的话则表示我们的地址则是基地址了.

注意,程序要用汇编编写,至少我不会用VC来内联编写,应为这个方法需要在程序的一开始就获取,而用VC编写的会有启动函数,也就是mainCRTStartup这些

代码如下:

	.386
	.model flat, stdcall
	option casemap:none
	
include windows.inc
include kernel32.inc
include user32.inc
includelib user32.lib
includelib kernel32.lib
	
	.const
szFormat	db 'kernel32.dll address is: %x', 0dh, 0ah, 0
szFormat1	db 'LoadLibrary kernel32.dll address is: %x', 0dh, 0ah, 0
szKrnl32	db 'kernel32.dll', 0

	.data?
hStdOut		dd ?
dwWriteBytes	dd ?
szBuffer	db 1024 (?)

	.code
	
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 获取字符串长度
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
GetStrLen proc _lpString

	mov edi, _lpString
	or ecx, 0ffffffffh	; ecx初值等于-1
	xor eax, eax
	repnz scasb		; 循环扫描,每循环执行一次,ecx-1,直到出现0为止,0也会减1
	; 一个公式(摘自《C++反汇编与逆向分析技术揭秘》P
最低0.47元/天 解锁文章
ProgrammingRing
关注
专栏目录
查找kernel32.dll 基地 SEH
x
08-09 224
根据SEH来找, teb.tib.exceptionlist 中最后一个EXCEPTION_REGISTRATION 异常处理函数在kernerl32 中 最后一个 EXCEPTION_REGISTRATION.prev = 0ffffffffh 根据这个特征找到EXCEPTION_REGISTRATION.handler , 去掉10000h, 模块都在64k边界上 .386 .model flat, stdcall option casemap:none include wind.
kernel32基地获得
why
06-20 1547
<br />kernel32基地获得<br /><br />    <br /><br />    kernel32基地获得也是病毒中必不可少的技术,因为在win32环境中一般初始化PE文件的时候,我们的ntdll.dll, kernel32.dll是随进程以及线程初始化时候加载的。所以即使程<br /><br />序中我们不引入任何输入表结构,这两个DLL在我们程序进程以及线程初始化时也必须加载。所以我们今天这篇文章的目的就是在我们的进程内存空间中来获得加载kernel32.dll的基地。因为我们
获取Kernel32基地的几种方法
liwei8703的专栏
12-15 1319
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地压入到堆栈顶端,而这个返回地恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地按64KB大小往地搜索,那么我们一定可以找到Kernel32模块的基地,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地    and
获取kernel32.dll基
bcbobo21cn的专栏
01-03 5668
获取kernel32.dll基 一 原理和概述 找kernel32基地的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地的方法。它的原理是: 几乎所有的win32执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
关于kernel32基地获取
xrain_zh的专栏
03-27 5034
[-] 关于kernel32基地获取 一shellcode获取kernel32dll基地二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地) 首先了解TEB,
Delphi下构建无导入表程序-使用:hash获取API,k32Base等
05-11 1604
//Start~~~《Delphi实现无导入表程序》初学编程,请勿奸笑:P首先感谢,一些认识不认识的前辈高人的资料.谢谢~前提假设您已经有了一定的PE Virus的知识.好了~先简单的说说无导入表程序的几点基本的构成1.GetkernelBase(获取kernel32.dll的基)由于我们是无导入表的程序所以,所有API函数都是依靠内存搜索完成的,想必大家已经知道EXE载入到内存中ESP保存Ex
基地和偏移地的概念
热门推荐
liaomin416100569的专栏
03-09 1万+
首先必须明白 cpu和内存的区别 cpu 中央处理器 内存是物理数据存放的地方 cpu不直接存放数据而是通过内存来存放数据 cpu和内存之间通过20条地总线相连接,地总线就是cpu通过地找到对应的内存的物理数据的传递工具 计算机只能处理0,1 二进制数据 每一条线可以处理 0,1 两种类型数据 所以20根线的 总共能拥有 2^20=1048576个不相同的地 也就是能搜索 10
Linux Kernel学习笔记
03-06
Linux Kernel 学习笔记主要涵盖了操作系统核心的多个关键领域,包括存储器寻、设备驱动程序开发、字符设备驱动程序、PCI设备、内核初始化优化宏、访问内核参数的接口、内核初始化选项、内核模块编程、网络子系统等...
Linux+Kernel学习笔记
06-12
Linux Kernel 学习笔记涵盖了多个核心主题,包括存储器寻、设备驱动程序开发等多个方面。下面是这些主题的详细解析: 1. **存储器寻**: 在80x86架构中,存在三种存储器地:逻辑地、线性地和物理地。...
查找(Dll)基地和指定函数地的一种方法
08-12
根据输出表RVA和基取输出表的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 499
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
基地和偏移地
u010783226的专栏
02-03 8687
首先必须明白 cpu和内存的区别 cpu 中央处理器 内存是物理数据存放的地方 cpu不直接存放数据而是通过内存来存放数据 cpu和内存之间通过20条地总线相连接,地总线就是cpu通过地找到对应的内存的物理数据的传递工具 计算机只能处理0,1 二进制数据 每一条线可以处理 0,1 两种类型数据 所以20根线的 总共能拥有 2^20=1048576个不相同的地 也就是能搜索 1048576个地范围内的内存 那么 一个地代表一个存储单元 一个存储单元能够存储 1byte数据 那么也就
外挂学习之路(2)--- 老生常谈“基地
liujiayu2的专栏
02-06 8570
1 第一步当然是开游戏,有CE载入它的进程(看图)  2 搜你要搜的值,一般用默认的那个(整数,4字节) 比如搜金钱,就输入金钱数,一开始会有很多个,这时要改变下金钱的数(捡钱扔钱随你) 然后再次搜金钱的数,循环数次后剩下1个或几个,双击它,看图,现在我的钱是5  3 点击图片中框选的位置
什么是基地.段地???主要用处是什么?
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
10-20 1万+
其实这个问题是从内存的寻来说, 一般程序要找到内存所存储的数据或者下一个指令,都要通过段地+偏移地的形式来确定所需要的东西所在内存的位置,以便读取。 首先要说,这种模式工作在DOS 16位模式 也称为实模式,跟它相对应的是windows 32位的保护模式。。区别在于能寻找的空间大小不同。实模式只能寻找1M的空间,而保护模式能寻找4G。 再回来说,一个程序由数据段,代码段,堆栈段,附加段四个主要段组成。(即一个程序被运行后,所占据内存就是给这个四个段使用) 而你说的基地其实就是每个段的起始...
SS的基地要等于DS的基地
雪之舞
03-28 1488
SS的基地要等于DS的基地.举例说明为何要这样.这是一循环C代码:while(i!=100){    demo_function()    i++;}对应的汇编代码:lea   eax,dword ptr[ebp+10]inc   dword ptr [eax]cmp dword ptr[ebp+10],100je     end_loopcall   demo_functionjmp   l
得到kernel32基地后如何调用函数
最新发布
03-16
要调用kernel32中的函数,需要先获取函数的地。可以使用GetModuleHandle函数获取kernel32.dll的基地,然后使用GetProcAddress函数获取函数的地。例如,要调用MessageBox函数: 1. 获取kernel32.dll的基地: HMODULE hModule = GetModuleHandle(L"kernel32.dll"); 2. 获取MessageBox函数的地: FARPROC pFunc = GetProcAddress(hModule, "MessageBoxW"); 3. 调用MessageBox函数: int nRet = ((int(WINAPI*)(HWND, LPCWSTR, LPCWSTR, UINT))pFunc)(NULL, L"Hello World", L"Message", MB_OK); 其中,WINAPI是函数的调用约定,HWND、LPCWSTR、LPCWSTR和UINT是MessageBox函数的参数类型,pFunc是MessageBox函数的地,((int(WINAPI*)(HWND, LPCWSTR, LPCWSTR, UINT))pFunc)是将pFunc转换为函数指针类型,然后再调用函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值