如果想要在win_32平台下定位kernel32.dll中的API地址,可以采用如下方法:
(1) 首先通过段选择字FS在内存中找到当前的线程环境块TEB
(2) 线程环境块偏移位置为0x30的地方存放着指向进程环境块PEB的指针
(3) 进程环境块中偏移位置为0x0C的地方存放着指向PEB_DLR_DATA结构体的指针,其中存放着已经被进程装载的动态链接库的信息
(4) PEB_LDR_DATA 结构体偏移位置为0x1C的地方存放着指向模块初始化链表的头指针InInitializationOrderModuleList
(5) 模块初始化链表InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息,第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll
(6) 找到属于kernel32.dll的结点后,在其基础上偏移0x08就是kernel32.dll在内存中的加载基地址
(7) 从kernel32.dll的加载基址算起,偏移0x3C的地方就是其PE头
(8) PE头偏移0x78的地方存放着指向函数导出表的指针
(9) 至此,我们可以按如下方式在函数导出表中算出所需函数的入口地址
(1) 首先通过段选择字FS在内存中找到当前的线程环境块TEB
(2) 线程环境块偏移位置为0x30的地方存放着指向进程环境块PEB的指针
(3) 进程环境块中偏移位置为0x0C的地方存放着指向PEB_DLR_DATA结构体的指针,其中存放着已经被进程装载的动态链接库的信息
(4) PEB_LDR_DATA 结构体偏移位置为0x1C的地方存放着指向模块初始化链表的头指针InInitializationOrderModuleList
(5) 模块初始化链表InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息,第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll
(6) 找到属于kernel32.dll的结点后,在其基础上偏移0x08就是kernel32.dll在内存中的加载基地址
(7) 从kernel32.dll的加载基址算起,偏移0x3C的地方就是其PE头
(8) PE头偏移0x78的地方存放着指向函数导出表的指针
(9) 至此,我们可以按如下方式在函数导出表中算出所需函数的入口地址