从Entry Point到main函数调用(2):GetVersion

最新推荐文章于 2020-10-10 15:09:09 发布
最新推荐文章于 2020-10-10 15:09:09 发布
阅读量617 收藏
点赞数
分类专栏: 操作系统相关 文章标签: windows server microsoft os thread struct

转自 http://driftcloudy.iteye.com/blog/1049404

之前(1)篇中大致介绍了mainCRTStartup,但是其中一些调用到的函数并未深究,现打算逐一剖析它们。

 

GetVersion

GetVersion函数是kernel32.dll中提供的API,用于获取当前Win平台的版本。准确的说,GetVersion可以获得3个信息:

1. OSPlatformId

2. OSBuildNumber

3. OSMinorVersion

4. OSMajorVersion

其中比较诡异的是OSPlatformId,在GetVersion的过程当中它被获得过,但是返回的时候又没了...所以只剩下2、3、4

 

可以用OD来跟进GetVersion:

Asm代码 复制代码  收藏代码
  1. mov     eax, dword ptr fs:[18]   
  2. mov     ecx, dword ptr [eax+30]   
  3. mov     eax, dword ptr [ecx+B0]        // 获取 OSPlatformId   
  4. movzx   edx, word ptr [ecx+AC]         // 获取 OSBuildNumber    
  5. xor     eax, FFFFFFFE   
  6. shl     eax, 0E                        // 几次左移,把OSPlatformId的信息给移没了...   
  7. or      eax, edx   
  8. shl     eax, 8  
  9. or      eax, dword ptr [ecx+A8]        // 获取 OSMinorVersion   
  10. shl     eax, 8  
  11. or      eax, dword ptr [ecx+A4]        // 获取 OSMajorVersion   
  12. retn  

GetVersion主要是去PEB(Process Environment Block)结构中访问当前的OS信息,每个进程都会有自己独立的PEB。想要获取当前进程的PEB地址,首先要先访问TEB(Thread Environment Block )结构。因为TEB结构的30偏移量处中存放了PEB结构的指针。FS 寄存器指向了当前活动线程的TEB结构,其中偏移位置18表示了FS 段寄存器在内存中的镜像地址。

TEB结构
000  指向SEH链指针
004  线程堆栈顶部
008  线程堆栈底部
00C  SubSystemTib
010  FiberData
014  ArbitraryUserPointer
018  FS段寄存器在内存中的镜像地址
020  进程PID
024  线程ID
02C  指向线程局部存储指针
030  PEB结构地址(进程结构)
034  上个错误号

 

因此

mov     eax, dword ptr fs:[18]

mov     ecx, dword ptr [eax+30]

两句表示根据TEB获取PEB的指针,并且存放在ECX中。拿到PEB的指针后,就可以去PEB中拿OS的信息。

PEB结构中关于OS信息的偏移量如下:

PEB 写道
typedef struct _PEB // Size: 0x1D8
……
/*0A4*/ ULONG OSMajorVersion;
/*0A8*/ ULONG OSMinorVersion;
/*0AC*/ USHORT OSBuildNumber;
/*0AE*/ USHORT OSCSDVersion;
/*0B0*/ ULONG OSPlatformId;
……

 

如果是XP用户,那么GetVersion最终的返回值应该是:0A280105 。

其中 0A28表示XP build版本是2600,01表示OSMinorVersion,05表示OSMajorVersion 。

 

中间被忽略掉的 OSPlatformId 信息可以为:

  • VER_PLATFORM_WIN32s 或 0x0000,用于指定 Microsoft Windows 3.1。

  • VER_PLATFORM_WIN32_WINDOWS 或 0x0001,用于指定 Windows 95、Windows 98 或从其继承的操作系统。

  • VER_PLATFORM_WIN32_NT 或 0x0010,用于指定 Windows NT 或从其继承的操作系统。

另外,还有一些补充的OS信息如下:

(摘录自 http://msdn.microsoft.com/zh-cn/library/ms724833%28v=VS.85%29.aspx

 

Operating systemVersion numberdwMajorVersiondwMinorVersion
Windows 76.161
Windows Server 2008 R26.161
Windows Server 20086.060
Windows Vista6.060
Windows Server 2003 R25.252
Windows Home Server5.252
Windows Server 20035.252
Windows XP Professional x64 Edition5.252
Windows XP5.151
Windows 20005.050

 

 

VirtualUniverse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Shell 编程学习总结
bcbobo21cn的专栏
03-19 8733
Windows Shell 编程 http://blog.csdn.net/chchzh/article/details/2210729 序言:        看过一些对windows 外壳的扩展程序,在使用上一般都是直接利用windows的外壳API做一些工作 ,因为外壳操作需要一些比较专业的知识,因此,大部分编程人员特别是使用集成编程环境的程序人员 对wind
【个人笔记三】ART系统类和方法加载分析
朱小南的博客
08-22 2963
- 在ART上用YAHFA、Legend以及一个java层实现的Andix: http://weishu.me/2017/03/20/dive-into-art-hello-world/,发现除了framework层的类(如telephonymanager)和应用中的类有效外,对于java核心库的类(如IOBridge和Class等)的hook都无效,所以我就以telephonymanager和IOBridge这两
GetVersion和GetVersionEx函数详解
linrulei11的专栏
08-06 4111
出自:http://flyxxtt.blogbus.com/logs/42705986.html Windows API 中有两个函数可以得到系统版本信息:GetVersion和GetVersionEx。       GetVersion这个函数曾经困扰了很多程序员,其本来设计的是在DWORD返回值中用低位的那个字表示MS-DOS的版本号,高位的那个字表示Windows版本号。对于每个字来说,
Windows API学习(2)-GetVersion
Blog地址变更...请访问www.vssv.cn
12-18 1011
GetVersion()函数得到当前操作系统的版本号,使用它可以用来判断当前是什么操作系统.函数原型:                 DWORD GetVersion(VOID);  //没有参数返回值:                如果函数成功的,那么它会返回一个DWORD值,该值包含了当前操作系统的低字节序和高字节序的主副版本号。低字节序指向的是操作系统的主版本号,高字节序指向的是操作系统
GetVersion和GetVersionEx
weixin_34111819的博客
03-22 429
出自:http://flyxxtt.blogbus.com/logs/42705986.html Windows API 中有两个函数可以得到系统版本信息:GetVersion和GetVersionEx。 GetVersion这个函数曾经困扰了很多程序员,其本来设计的是在DWORD返回值中用低位的那个字表示MS-DOS的版本号,高位的那个字表示Windows版本号。对于每个字来...
GetVersion
pjz969的专栏
08-08 554
Windows API 中有两个函数可以得到系统版本信息:GetV和GetVersionExersion。       GetVersion这个函数曾经困扰了很多程序员,其本来设计的是在DWORD返回值中用低位的那个字表示MS-DOS的版本号,高位的那个字表示Windows版本号。对于每个字来说,高位字节代表主要版本号,低位字节代表次要版本号。可是因为编写此函数的程序员犯了一个错误,使得此函数返
深入理解ART虚拟机—ART的函数运行机制
threepigs的专栏
11-04 5809
前面两篇文章介绍了ART的启动过程,而在启动之后,我们感兴趣的就是ART是怎么运行的。回顾一下虚拟机系列的前面几篇文章,我们可以理一下思路: 一,apk以进程的形式运行,进程的创建是由zygote。 参考文章《深入理解Dalvik虚拟机- Android应用进程启动过程分析》 二,进程运行起来之后,初始化JavaVM 参考文章《深入理解ART虚拟机—虚拟机的启动》 三,JavaVM创建之
C/C++ 实现文件透明加解密
尹成的技术博客
11-05 1万+
    今日遇见一个开超市的朋友,真没想到在高校开超市一个月可以达到月净利润50K,相比起我们程序员的工资,真是不可同日而语,这个世道啊,真是做程序员不如经商开超市,我们高科技的从业者,真是造原子弹不如卖茶叶蛋。请见代码详细注释   //  修复涉及后视列表的Win2K兼容性//  Fixes Win2K compatibility regarding lookaside
chromium WinMain
飞鸟的专栏
05-26 2237
这里研究和分析一下chromium启动的初步,浅析一下
GetVersion和GetVersionEx的介绍
thanklife的专栏
10-10 1036
概述: DWORD WINAPI GetVersion(void); 返回当前操作系统的版本,如果调用成功,返回值的低位字中包含操作系统的主版本与次版本,高位字节包含有操作系统build号。对于所有平台,低位字包含操作系统的版本号, 低位字的低字节是系统的主版本号,用十六进制表示;低位字的高字节表示系统的次版本号,用十六进制表示,高位字表示系统的bulid号。 示例: #include <Windows.h> #include <stdio.h> int main() { .
GetVersion 获取系统版本号
happyforever_Wang的专栏
06-08 6104
概述:DWORD WINAPI GetVersion(void);返回当前操作系统的版本,如果调用成功,返回值的低位字中包含操作系统的主版本与次版本,高位字节包含有操作系统build号。对于所有平台,低位字包含操作系统的版本号, 低位字的低字节是系统的主版本号,用十六进制表示;低位字的高字节表示系统的次版本号,用十六进制表示,高位字表示系统的bulid号。 示例: #include
无法定位程序输入点K32Get Module File Name Ex于动态链接库KERNEL32.dll上 的错误解析
热门推荐
小米的修行之路
03-13 3万+
这里我要讨论的是在 WinSDK v7.0中的一些不友好的错误。如果你是一名开发者,并且当前使用的是VS2010编译器自带的 WinSDK v7.0,那么个别时候当你执行程序时,可能遇到这样的错误提示:The procedure entry point K32*** could not be located in the dynamic link library KERNEL32.dll中文版本的...
R3获取kernel32地址
天使也掉毛
04-30 2840
获取Kernel32地址 如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数的地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。 对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是...
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4688
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
KERNEL32相关函数
weixin_34381666的博客
10-18 821
CALL DWord Ptr [<&KERNEL32.WriteFile>] kernel32.WriteFile 将数据写入一个文件,也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理 CALL DWord Ptr [<&KERNEL32.WriteConsole>]...
常见程序入口点特征
AlexSmoker的博客
02-22 2306
#Delphi入口程序 Delphi开头的入口程序是正常的压栈,然后调用一个E8字节类型的call 0044CA98 > $ 55 push ebp 0044CA99 . 8BEC mov ebp,esp 0044CA9B . 83C4 F0 add esp,-0x10 0044CA9E . B8 B8C84400 mov eax,delphi7?0044C8B8 ; UNICODE “;...
Entry Pointmain函数调用(1)
driftcloudy的专栏
05-18 341
(1)    之前在调试exe时感觉很奇怪,为什么Entry Point并非直接进入到main函数。 举例来说,如果将一段空的C代码build为exe: void main(){ } 编译环境为:VC6 release。 再将该exe文件进行反汇编,那么从EP开始的代码部分大概形如: ASM代码 push ebp ……一段汇编代码 ……call Main函数 ...
Windows API 函数详解:从网络到绘图
"Windows API 函数大全,包括网络函数、消息函数、文件处理函数、打印函数、文本和字体函数、菜单函数、位图、图标和光栅运算函数、绘图函数、设备场景函数、硬件与系统函数、进程和线程函数以及控件与消息函数,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值