查找kernel32.dll 基地址 特征函数

最新推荐文章于 2024-08-05 18:00:00 发布
最新推荐文章于 2024-08-05 18:00:00 发布
阅读量441 收藏 2
点赞数
分类专栏: asm 文章标签: kernel32 查找kernel32.dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dashoumeixi/article/details/119529633
版权
本文介绍了如何从用户层高地址开始,通过扫描每个64k边界上的PE模块,查找kernel32.dll。通过识别PE头、导出表,以及匹配特定函数如LoadLibraryA来确定dll。这种方法依赖于特征函数名,适用于简单搜索。
摘要由CSDN通过智能技术生成

从用户层高地址往下找

高地址:7ffe0000h (用户层可读的最高地址,之后的地址拒绝访问)

一直扫描到最后一块64k起始页面为止, 因此结束地址9999h

每个pe模块都会加载在64k边界的地址上,  因此每次减64k(10000h)

代码中增加了自己修复的重定位信息, 和异常处理;

***** 不要运行在调试环境中 , 否则异常首先被送到debug中

流程:

1.每次在64k的边界上查看是否是一个pe 

2.如果是,则找到导出表,如果有导出表,根据名字LoadLibraryA / GetProcAddress 来匹配,

  如果有此函数则确定为kernel32.dll

* 这种方式比较傻瓜式 , 只根据一个特征函数名(LoadLibraryA)来搜索

你也可以改成其他在kernel32.dll 中的函数

.386
.model flat, stdcall
option casemap:none

include		windows.inc
include		gdi32.inc
includelib	gdi32.lib
include		user32.inc
includelib	user32.lib
include		kernel32.inc
includelib	kernel32.lib
include msvcrt.inc
includelib msvcrt.lib

.data
buffer db 256 dup(0)
kernerl32_module dd 0

.const
ADDR_BEGIN equ 7ffe0000h
ADDR_END EQU 9999h
szGetProcAddress db
最低0.47元/天 解锁文章
__xa__
关注
专栏目录
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll实现无导入表的hello world
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1879
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
C#针对kernel32.dll的一些常规使用
最新发布
weixin_45114627的博客
08-05 519
Window是一个复杂的系统,kernel32是一个操作系统的核心动态链接库文件。它提供了大量的API函数,提供了操作系统的基本功能。
KERNEL32相关函数
weixin_34381666的博客
10-18 831
CALL DWord Ptr [<&KERNEL32.WriteFile>] kernel32.WriteFile 将数据写入一个文件,也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理 CALL DWord Ptr [<&KERNEL32.WriteConsole>]...
C++如何测试dll_Windows x86 Shellcode开发:寻找Kernel32.dll
weixin_39807691的博客
11-20 252
前言针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版...
软件安全实验 通过导入表查找关键函数地并显示
Tracy_yi的博客
05-25 374
内容 根据函数名字和kernel32的导出表获得更多函数的地并弹窗显示 在win7下成功编译运行,masm32安装目录需为c:\masm32 代码 .586 .model flat,stdcall option casemap:none include c:\masm32\include\windows.inc include c:\masm32\include\comctl32.inc includelib c:\masm32\lib\comctl32.lib include c:\masm32
查找kernel32.dll 基地 SEH
x
08-09 226
根据SEH来找, teb.tib.exceptionlist 中最后一个EXCEPTION_REGISTRATION 异常处理函数在kernerl32 中 最后一个 EXCEPTION_REGISTRATION.prev = 0ffffffffh 根据这个特征找到EXCEPTION_REGISTRATION.handler , 去掉10000h, 模块都在64k边界上 .386 .model flat, stdcall option casemap:none include wind.
逆向工程实验
FFFde博客
01-18 2478
逆向工程实验1、PE头及导入表应用2、PE导出表分析及应用3、应用软件破解4、壳应用 1、PE头及导入表应用 1、PE可执行文件分析 1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.in
在 C# 中通过 P/Invoke 调用Win32 DLL
03-10 702
我在自己最近的编程中注意到一个趋势,正是这个趋势才引出本月的专栏主题。最近,我在基于 Microsoft® .NET Framework 的应用程序中完成了大量的 Win32® Interop。我并不是要说我的应用程序充满了自定义的 interop 代码,但有时我会在 .NET Framework 类库中碰到一些次要但又繁絮、不充分的内容,通过调用该 Windows® API,可以快速减少这样的麻
kernel32.dll文件丢失的几种相应解决办法,成功解决丢失难题
szcsd123456789的博客
04-09 2474
当启动计算机并尝试运行某个应用程序时,屏幕上突然弹出一条醒目的错误提示:“电脑显示kernel32.dll丢失”。这也就意味着操作系统在当前环境下无法找到名为“kernel32.dll”的动态链接库文件。这个问题可能会导致一些应用程序无法正常运行,给用户带来困扰。为了解决这个问题,我将介绍四种修复方法,帮助大家恢复电脑的正常运行。
无法在 DLLkernel32”中找到名为“XXX”的入口点
dsyzxty的专栏
10-05 1万+
1,出现这个问题,完全属于自己的误操作 2,因需要将Private改为Public的时候,默认的是整个项目 3,改了几处替换,取消掉后,之前   [DllImport("kernel32")]内读取配置文件的的函数名由XXPrivateXXX变成了XXPublicXXX 4,因此始终提示无法在 DLLkernel32”中找到名为“XXX”的入口点 5,另外还要注意大小写不能错
【2021.04.26】API函数的调用过程(Ring3进Ring0):上
oalken的博客
04-26 653
内容回顾 kernel32.dll(ReadProcessMemory)->ntdll.dll(NtReadVirtualMemory) mov eax, 0BA //提供一个内核函数编号 mov edx, 7FFE0300 //然后提供一个函数的地,这个函数地存储在7FFE0300这个位置。 本文将重点介绍该函数到底是什么,要了解该函数到底是什么还需要弄清楚7FFE0000这块内存有什么特殊含义。 _KUSER_SHARED_DATA 在user层和kernel层分别定义了一个.
C++获取(32位)Kernel32 LoadLibrary等地,并写入txt文件
MusicMan
06-06 2503
代码: // GetKernel32Info.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" using namespace std; int _tmain(int argc, _TCHAR* argv[]) { ofstream txtfile; txtfile.open(".\\kernel32info.txt",std::ios::out...
KiFastCallEntry() 机制分析
无本之木
05-28 1194
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
python asyncio回调函数_python回调函数用法实例分析
weixin_39750731的博客
12-05 730
python回调函数用法实例分析本文实例讲述了python回调函数用法。分享给大家供大家参考。具体分析如下:软件模块之间总是存在着一定的接口,从调用方式上,可以把他们分为三类:同步调用、回调和异步调用。同步调用是一种阻塞式调用,调用方要等待对方执行完毕 才返回,它是一种单向调用;回调是一种双向调用模式,也就是说,被调用方在接口被调用时也会调用对方的接口;异步调用是一种类似消息或事件的机制,不过它 ...
无法定位程序输入点kernel32.dll,如何修复kernel32.dll
热门推荐
电脑修复君的博客
02-28 3万+
kernel32.dll是Windows操作系统中非常重要的一个系统文件,如果它丢失或损坏可能会导致许多应用程序无法正常运行。今天小编就来给大家详细的讲解一下无法定位程序输入点kernel32.dll,我们要怎么修复这个kernel32.dll缺失的问题。
Windows kernel32.dll详解:错误原因与修复策略
Kernel32.dll是Windows 9x/Me操作系统中的核心32位动态链接库文件,它在内核级别运行,负责管理和控制系统的内存管理、数据输入输出操作以及中断处理。当Windows启动时,kernel32.dll驻留在内存中的特定写保护区域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值