非调用手法获取API

最新推荐文章于 2021-11-08 16:18:15 发布
最新推荐文章于 2021-11-08 16:18:15 发布
阅读量873 收藏
点赞数
分类专栏: 汇编破解 文章标签: api byte table user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhkza99c/article/details/1559569
版权

使用非调用手法获取API,其实是PE病毒的基本手段之一。

搜索输出表,导出GetModuleHandle,LoadLibraryA,GetProcAddress函数的地址,然后用LoadLibraryA调用USER32.DLL,然后再使用GetProcAddress得到MessageBoxA()的函数,得到输出框。
GetModuleHandle暂时没用到。。。汗一个。

 

.386
.model flat

;kernel_ equ 0BFF70000h     

.data
szTitle db "Test for GetApi",0
szMessage db "perfect,we got the api!",0
u32 db "User32.dll",0
kernel dd ?
Counter dd 00000000h


heap_start label byte

          dd 00000000h
AddressTableVA    dd 00000000h
OrdinalTableVA dd 00000000h
NameTableVA   dd 00000000h

 

 

@@Offset label byte
_MessageBoxA dd 00000000h
@@Namez label byte
@MessaeBoxA db "MessageBoxA",0

_Namez label byte
@GetModuleHandle       db "GetModuleHandleA",0
@GetProcAddress        db "GetProcAddress",0
@LoadLibraryA           db "LoadLibraryA",0
@ExitProcess   db "ExitProcess",0
   db 0BBh

_Offsetz label byte
_GetModuleHandle dd 00000000h
_GetProcAddress dd 00000000h
_LoadLibraryA dd 00000000h
_ExitProcess dd 00000000h
;_MessageBoxA dd 00000000h


heap_end label byte

 

.code

s_start label byte

 

test1:
   call delta
delta:
   pop ebp                ;重定位
   sub ebp,offset delta        ;ebp得到修正值
  
   mov esi,[esp]            ;Kernal32的地址       
   and esi,0ffe00000h        ;数据对齐   
   call GetK32            ;返回EAX=得到的 KENNEL地址
  
;   mov dword ptr [ebp+kernel],eax
;   mov dword ptr [ebp+kernel],eax

   lea edi,[ebp+kernel]
   stosd 
     
     
   lea edi,[ebp+_Offsetz]
   lea esi,[ebp+_Namez]
   call GetAPIs
   push offset u32
   call dword ptr [ebp+_LoadLibraryA]
   lea edx,[ebp+@MessaeBoxA]
   push edx
   push eax
   mov eax,dword ptr [ebp+_GetProcAddress]
   call eax
  
  
  

 

   xor ebx,ebx
   push ebx
   push offset szTitle
   push offset szMessage
   push ebx
   call eax
   push 00h
   call [ebp+_ExitProcess]
GetK32:
_1:
   cmp word ptr [esi],"ZM"        ;对照是否MZ
   jz CheckPE
_2:
   sub esi,10000h            ;不是就减去一页再次对比
   jmp _1
CheckPE:
   mov edi,[esi+3ch]        ;找到对应PE   
   add edi,esi            ;相对地址转绝对地址
   cmp dword ptr [edi],"EP"    ;对照是否“PE”
   jz WeGotK32            ;是,我们得到K32地址。
   jmp _2                ;不是。。。汗一个。重来。。
;WeFailed:                暂时没用它。。
;    mov esi,0BFF70000h       

WeGotK32:
   xchg eax,esi            ;eax= address of k32
   ret
GetAPI       proc


    mov   edx,esi                 ; Save ptr to name
@_1:   cmp   byte ptr [esi],0           ; Null-terminated char?
    jz     @_2                   ; Yeah, we got it.
    inc   esi                   ; Nopes, continue searching
    jmp   @_1                   ; bloooopz...
@_2:   inc   esi                   ; heh, don't forget this ;)
    sub   esi,edx                 ; ESI = API Name size
    mov   ecx,esi                 ; ECX = ESI :)


    xor   eax,eax                 ; EAX = 0
    mov   word ptr [ebp+Counter],ax     ; Counter set to 0

    mov   esi,[ebp+kernel]           ; Get kernel's PE head. offset
    add   esi,3Ch
    lodsw                       ; in AX
    add   eax,[ebp+kernel]           ; Normalize it

    mov   esi,[eax+78h]             ; Get Export Table RVA
    add   esi,[ebp+kernel]           ; Ptr to Address Table RVA
    add   esi,1Ch


    lodsd                       ; EAX = Address Table RVA
    add   eax,[ebp+kernel]           ; Normalize
    mov   dword ptr [ebp+AddressTableVA],eax ; Store it in VA form

    lodsd                       ; EAX = Name Ptrz Table RVA
    add   eax,[ebp+kernel]           ; Normalize
    push   eax                   ; mov [ebp+NameTableVA],eax

    lodsd                       ; EAX = Ordinal Table RVA
    add   eax,[ebp+kernel]           ; Normalize
    mov   dword ptr [ebp+OrdinalTableVA],eax ; Store in VA form

    pop   esi                   ; ESI = Name Ptrz Table VA

 

@_3:   push   esi                   ; Save ESI for l8r restore
    lodsd                       ; Get value ptr ESI in EAX
    add   eax,[ebp+kernel]           ; Normalize
    mov   esi,eax                 ; ESI = VA of API name
    mov   edi,edx                 ; EDI = ptr to wanted API
    push   ecx                   ; ECX = API size
    cld                         ; Clear direction flag
    rep   cmpsb                   ; Compare both API names

   
   
               pop   ecx                   ; Restore ECX
    jz     @_4                   ; Jump if APIs are 100% equal
    pop   esi                   ; Restore ESI
    add   esi,4                   ; And get next value of array
    inc   word ptr [ebp+Counter]       ; Increase counter
    jmp   @_3                   ; Loop again

 

@_4:   pop   esi                   ; Avoid shit in stack
    movzx   eax,word ptr [ebp+Counter]     ; Get in AX the counter
    shl   eax,1                   ; EAX = AX * 2
    add   eax,dword ptr [ebp+OrdinalTableVA] ; Normalize
    xor   esi,esi                 ; Clear ESI
    xchg   eax,esi                 ; EAX = 0, ESI = ptr to Ord
    lodsw                       ; Get Ordinal in AX
    shl   eax,2                   ; EAX = AX * 4
    add   eax,dword ptr [ebp+AddressTableVA] ; Normalize
    mov   esi,eax                 ; ESI = ptr to Address RVA
    lodsd                       ; EAX = Address RVA
    add   eax,[ebp+kernel]           ; Normalize and all is done.
    ret

 

GetAPI       endp

;---------------------------------------------------------------------------
;---------------------------------------------------------------------------

GetAPIs     proc

 

@@1:   push   esi
    push   edi
    call   GetAPI
    pop   edi
    pop   esi
    stosd

 

@@2:   cmp   byte ptr [esi],0
    jz     @@3
    inc   esi
    jmp   @@2
@@3:   cmp   byte ptr [esi+1],0BBh
    jz     @@4
    inc   esi
    jmp   @@1
@@4:   ret
GetAPIs     endp
  

;kernel dd kernel_
;kernel_ equ 077e60000h


;@@Namez label byte
;@MessaeBoxA db "MessageBoxA",0

          align dword
s_end label byte

 


   end test1

最后我们看到了感动的弹出框,perfect,we got the api。

是不是应该激动一下。应该是。因为我们并没有调用任何的函数,挺不容易的,一个小程序耗费了很长时间,

其实还是基础太差。。加强ING。。。


 

zhkza99c
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
python 调用API接口 获取和解析 Json数据
12-17
调用API接口数据,抽取我们所需类型的数据,并写入指定mysql数据库。 先从宏观上看这个任务,并对任务进行分解: step1:需要学习python下的通过url读取数据的方式; step2:数据解析,也是核心部分,数据格式从...
无需controller直接调用API方法
weixin_43850320的博客
05-07 450
import com.alibaba.dubbo.config.ApplicationConfig; import com.alibaba.dubbo.config.ReferenceConfig; import com.alibaba.dubbo.config.RegistryConfig; import com.alibaba.fastjson.JSONObject; import com.cheetah.extend.result.ResultSet; import java.util.ArrayLi
前端项目没数据?教你抓取各大网站api
热门推荐
weixin_44823731的博客
07-06 1万+
抓取各大网站api,让你的前端开发生活充满动力
服务端调用接口API利器之HttpClient
akg4386的博客
08-06 332
前言   之前有介绍过HttpClient作为爬虫的简单使用,那么今天在简单的介绍一下它的另一个用途:在服务端调用接口API进行交互。之所以整理这个呢,是因为前几天在测试云之家待办消息接口的时候,有使用云之家外出登记LightApp中的HttpHelper,觉得抽的很不错,就拿来记录一下,便于日后直接使用。 HttpHelper.jar下载链接:https://pan.baidu.c...
【网络安全】DRIDEX木马巧用VEH混淆API调用流程
HBohan的博客
11-08 4220
情报背景 DRIDEX是自2014年起活动至今的著名恶意银行木马家族,通常以OFFICE文档的方式进行文档钓鱼攻击。0xCERT的研究人员将其描述为精于防御规避的信息与凭据窃取恶意软件,利用众多C&C服务器令针对其的网络·封锁无能为力。DRIDEX在其历史行动中曾多次运用高级防御规避技术隐匿其恶意行为,其v4版本是第一个使用AtomBombing进程注入技术的恶意软件。 【学习资料】 而本文中将对其近期样本中利用向量化异常处理(VEH)机制混淆其API函数调用手法进行分析研判,该手法对于动态静态分
c# 调用百度地图API 代码示例
04-23
将百度地图嵌入c# cs窗体中,cs...查了很多资料,参考网上众多朋友的代码及百度地图API demo,这个例子中的js代码不用key,方便很多,使用的是v1.4版,少了很多限制,使用.net4.5开发的,可以将c#代码转为低版本也行的。
vb6 调用odoo web api
08-28
vb6 调用odoo web api
java调用百度定位api服务获取地理位置示例
09-04
java调用百度定位api服务获取地理位置示例,大家参考使用吧
基于c#实现的webapi调用软件
09-01
基于c#实现的webapi调用软件,用于请求web服务,尤其是通过aistudio平台部署的深度学习模型。如果您的自己的webapi接口返回的也是json格式的信息,也可以使用本软件进行请求调用。只是在请求服务前,一定要点击软件...
第一次 CRACK ME,试手试手~
zhkza99c的专栏
10-21 1498
    第一次暴力破解,算法分析得头痛 了 ,回头再说,爆破就爆破吧.先用OD打开ncrackme.exe,然后F9运行下来,程序断到用户名和密码处,我输入了name: zhkza99c,key:0123cat,好象对爆破没啥作用哈,管他,弹出Registration fail,好的,用字符串查找定位到:00401095  向上看看,关键跳转找到~00401072      75 1B  
第二次尝试CRACK...
zhkza99c的专栏
10-23 724
   看雪提供的一个习题,试着做了下,晕头转向的,追啊追看着004010B0 处的CALL超级不顺眼,在00401099下了断,跟进了004010B0到了004010C9,然后是分析算法.  00401099  |.  6A 0A         PUSH 0A                                                             
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和阻塞I/O模型,这使得它常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
试用Dev Containers的示例项目-Go
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
NTsky新闻发布v1.0测试版(提供JavaBean).zip
04-23
### 内容概要: 《NTsky新闻发布v1.0测试版》是一款基于 Java 开发的新闻发布系统的测试版本,旨在为新闻机构和媒体提供一个简单易用的新闻发布平台。该系统具有基本的新闻发布和管理功能,包括新闻分类、新闻编辑、新闻发布等核心功能。此外,该版本还提供了 JavaBean,使开发人员能够方便地将系统集成到自己的项目中,快速实现新闻发布的功能。 ### 适用人群: 本测试版本适用于新闻机构、媒体从业者以及Java开发人员。如果你是一家新闻机构或媒体,希望拥有一个简单易用的新闻发布平台,方便快捷地发布和管理新闻,那么这个测试版本将为你提供一个初步的体验。同时,如果你是一名Java开发人员,希望学习和掌握新闻发布系统的开发技术,并且对新闻行业有一定的了解,那么通过这个测试版本,你可以获取到一些JavaBean,并且可以参考系统的设计和实现,为你的项目开发提供参考和借鉴。无论是从业务需求还是技术学习的角度,该测试版本都将为你提供一定的帮助和支持。
JavaScript介绍.zip
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
15-21.php
04-23
15-21.php
汽车租赁系统(毕业设计)
04-23
汽车租赁系统后端采用了spring,spring mvc,mybatis框架,前端使用了layui,界面美观。 包含功能:客户管理,车辆管理,出租,出租单管理,汽车入库,检查单管理,菜单管理,用户管理,角色管理,日志管理,统计分析等。 该毕业设计功能涵盖了大部分汽车租赁中的业务需求,特点是业务功能较多,有助于学生加深业务到技术的理解。
java调用接口获取api
05-25
下面是一个简单的Java调用API的示例: ```java import java.io.*; import java.net.*; public class ApiDemo { public static void main(String[] args) throws Exception { String query = "Java"; String ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值