转载 获得kernel32.dll基地址

于 2007-05-01 22:11:00 发布 1180 收藏
文章标签: 汇编 api null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SGYHMSLY/article/details/1594428
版权
获取kernel32.dll映像基址

 

很久不写关于技术的东西了,由于最近在研究内嵌汇编和机器码的注入,故把下面这段代码列出来。其中C/C++的部分和inline asm的最后一句是我写的。自评:极其缺乏原创精神。

HMODULE GetKernel32( void )
{
    HMODULE hRet = NULL;
    __asm
    {
        mov eax, fs:30h
        mov eax, [eax + 0ch]
        mov esi, [eax + 1ch]
        lodsd
        mov eax, [eax + 08h]
        mov hRet, eax
    }
    return hRet;
}

这段代码的功能是不借助于GetModuleHandle API获取kernel32.dll的模块句柄(映像基址),只适用于Win32 NT内核。

 
SGYHMSLY
关注
  • 0
    点赞
  • 0
    收藏
  • 打赏
    打赏
  • 0
    评论
查找(Dll基地和指定函数地的一种方法
08-12
根据输出表RVA和基取输出表的FAT,FNT 再然后就是暴力男人狂搜FNT说指向的API名称,并和我们想要的API名称进行对比,找到后返回FAT找其地
kernel32.dll
12-01
缺少kernel32.dll引起的问题,本文件包括kernel32.dll和其描述。
关于kernel32基地获取
xrain_zh的专栏
03-27 4708
[-] 关于kernel32基地获取 一shellcode获取kernel32dll基地二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地) 首先了解TEB,
查找kernel32.dll 基地 stack
最新发布
dashoumeixi的博客
08-10 265
从[esp]获取kernel32中call 指令push的返回地, 即应用程序返回后的地 rtlexituserthread , 有些是exitthread. 拿到这个地就拿到了kernel32空间的某个值, 模块地64k对齐,去掉低2个字节来对齐. 然后依次减64k寻找 .386 .model flat, stdcall option casemap:none include windows.inc include user32.inc includelib user...
C++如何测试dll_Windows x86 Shellcode开发:寻找Kernel32.dll
weixin_39807691的博客
11-20 124
前言针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版...
几种得到kernel32.dll的方法(基本就是抄的)
热门推荐
程序员的梦
02-13 1万+
1)利用PEB结构来查找原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于         PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构中,相应的双向链表头部        的指针
获取kernel32.dll
bcbobo21cn的专栏
01-03 4814
获取kernel32.dll 一 原理和概述 找kernel32基地的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
获取Kernel32基地的几种方法-相关结构
wowolook的专栏
04-01 4342
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
获得KERNEL32.DLL模块地以及函数的地
SUNE__学无止境
05-29 2623
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
获取DLL基地
IDoubleTong的博客
02-24 1329
(1)首先通过段选择器FS在内存中找到当前的线程环境块TEB。 (2)线程环境块中找到进程环境块PEB的指针。 (3)进程环境块中找到指向PEB_LDR_DATA结构体的指针,其中存放着已经被进程装载的动态链接库的信息。 (4)PEB_LDR_DATA结构体中找到指向模块信息LIST_ENTRY链表的头指针。 (5)遍历_LIST_ENTRY链表,找到想要获取DLL基地。 1.TEB &nbs...
学习笔记通过PEB获取kernal32.dll基地
popkun222的专栏
03-06 842
原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll的基 ; 从PEB结构中搜索kernel32.dll基地 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...
内核库函数Kernel32.exe提供的API
~ 飞 扬 的 天 空 ~
05-02 2054
内核库函数Kernel32.exe提供的API 函数名称  说明AddAtom 向本地原子表添加一个字符串AllocConsole 为当前进程分配一个新控制台AreFileApisANSI 确定一个WIN32文件函数集是否在使用ANSI或OEM字符集代码页BackupRead 向一缓冲区读进与给定文件相关联的数据BackupSeek 在访问数据流中向前搜索BackupWrite 将数据传送到指定的
kernel32基地获得学习笔记
ProgrammingRing的专栏
09-08 6813
原文链接:点击打开链接 第一种方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地,然后通过搜索获得kernel32.dll基地。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地,windows这样做是为了通过ret返回时来调用ExitThread地。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
Kernel32.dll基地
雪之梦的专栏
07-04 589
PUSH ESI; XOR ECX,ECX; MOV ESI,DWORD PTR FS:[ECX+30]; MOV ESI,DWORD PTR [ESI+C]; MOV ESI,DWORD PTR [ESI+1C]; LABEL1: MOV eax,DWORD
查找kernel32.dll 基地 SEH
dashoumeixi的博客
08-09 116
根据SEH来找, teb.tib.exceptionlist 中最后一个EXCEPTION_REGISTRATION 异常处理函数在kernerl32 中 最后一个 EXCEPTION_REGISTRATION.prev = 0ffffffffh 根据这个特征找到EXCEPTION_REGISTRATION.handler , 去掉10000h, 模块都在64k边界上 .386 .model flat, stdcall option casemap:none include wind.
kernel32基地获得
why
06-20 1343
<br />kernel32基地获得<br /><br />    <br /><br />    kernel32基地获得也是病毒中必不可少的技术,因为在win32环境中一般初始化PE文件的时候,我们的ntdll.dllkernel32.dll是随进程以及线程初始化时候加载的。所以即使程<br /><br />序中我们不引入任何输入表结构,这两个DLL在我们程序进程以及线程初始化时也必须加载。所以我们今天这篇文章的目的就是在我们的进程内存空间中来获得加载kernel32.dll基地。因为我们
综合项目之闪讯破解(六)之 如何解决程序/C++Dll的兼容性问题
SundayRX的博客
11-14 1497
如何解决程序/C++Dll的兼容性问题
C++ 动态链接库的两种调用方式
zy_dreamer的专栏
05-03 3434
动态链接库不能直接运行,也不能接收消息。它们是一些独立的文件,其中包含能被可执行程序或其它DLL调用来完成某项工作的函数或是数据。只有在其它模块调用动态链接库中的函数时,它才发挥作用。Windows API中的所有函数都包含在DLL中。其中有3个最重要的DLLKernel32.dll,它包含用于管理内存、进程和线程的各个函数;User32.dll,它包含用于执行用户界面任务(如窗口的创建和消息的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SGYHMSLY

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值