查找kernel32.dll 基地址 stack

于 2021-08-10 03:10:27 发布
阅读量419 收藏
点赞数
分类专栏: asm 文章标签: 查找kernel32 kernel32 esp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dashoumeixi/article/details/119553808
版权
本文探讨如何从ESP寄存器获取kernel32.dll中call指令push的返回地址,该地址关联于应用程序的返回点,如rtlexituserthread或exitthread。通过地址对齐方法找到kernel32.dll模块的特定值,并通过递减64k来搜索目标位置。
摘要由CSDN通过智能技术生成

从[esp]获取kernel32中call 指令push的返回地址, 即应用程序返回后的地址

rtlexituserthread , 有些是exitthread. 

拿到这个地址就拿到了kernel32空间的某个值, 模块地址64k对齐,去掉低2个字节来对齐.

然后依次减64k寻找

.386
.model flat, stdcall
option casemap:none

include		windows.inc
include		user32.inc
includelib	user32.lib
include		kernel32.inc
includelib	kernel32.lib
include msvcrt.inc
includelib msvcrt.lib


.data
buffer db 256 dup(0)
kernerl32_module dd 0

.const
szText db 'addr : %08x',0dh,0ah,0

.code

seh_handler proc C pExceptionRecord, pSehStack, pContext, DispatcherContext
	pushad
	assume esi:ptr CONTEXT

	mov esi,pContext
	mov edx,pSehStack
	push [edx+8]
	pop [esi].regEip
	push [edx+0ch]
	pop [esi].regEbp
	push edx
	pop [esi].regEsp
	assume esi:nothing
	
	popad
	mov eax,ExceptionContinueExecution
	ret
seh_handler endp

isPe proc mem:dword
	local ok:dword
	pushad

	mov ok,0
	mov esi,mem
	.if esi == 0
		jmp done
	.endif

	assume esi:ptr
最低0.47元/天 解锁文章
__xa__
关注
专栏目录
visa32+visa64+visaConfMgr+visaext+visaUtilities
03-02
【visa32】和【visa64】指的是VISA的32位和64位动态链接库(DLL),是VISA的核心组成部分。在32位系统中,应用会调用visa32.dll来实现与仪器的通信;在64位系统中,则需要visa64.dll。这两个库文件提供了VISA的底层...
VB 远程注入/卸载/自我删除(RtlCreateUserThread)
chenhui530的专栏
10-21 7444
 最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西,可以创建远程线程,也可以用来写多线程程序,但是在VB里好像还是不是很稳定只能用API。 这篇文章给大家一种不同于(CreateRemoteThread)但是原理是一样(都是通过ZwCreateThread创建线程)创建远程线程,实现注入和卸载功能。对于一些编写外挂,或者对Shel
DLL的绑定进程和解绑定进程引起的死锁
justin_bkdrong的专栏
08-31 4487
DLL的绑定和解绑定其实操作系统做了很多的工作,资源的分配和资源的释放,我们在使用的过程中,一不小心就会中招,这里说一下我遇到的一个死锁的问题。
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8596
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
Vista&Win7下CreateRemoteThread应用的若干问题和解决方案
crystal0011的专栏
10-16 4016
Vista&Win7下CreateRemoteThread应用的若干问题和解决方案 在xp、03下面,用CreateRemoteThread往别的进程注入shellcode或者是dll是一件非常容易的事情,甚至是往系统进程里面注入(如svchost、winlogon等),但在vista下,你会发现事情没有那么容易了,就算是在xp下一模一样的代码,在vista下面都有可能给你一个ERROR_N
windows线程创建流程
zhuhuibeishadiao
12-23 2069
如果查看堆栈(正常的堆栈回溯) 所有线程的入口都是RtlUserThreadStart, 真正的流程如下. 包括远程线程 这里着重说明应用层,内核层不做具体描述. CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpIn...
Linux_network_kernel_stack.rar_ip kernel stack_site:www.pudn.com
09-23
TCP/IP网络协议实现,文件详细介绍了TCP/IP协议,及Linux防火墙的编程方法
stack.zip.rar_zigbee stack
07-15
zigbee 协议堆栈 stack(简化协议)
浏览器pngfilt.dll导致出现stack overflow at line0问题注册表修复程序
06-22
当用户在浏览网页或使用某些应用程序时,如果遇到"stack overflow at line0"错误,通常表明系统中的pngfilt.dll文件或与其相关的注册表项出现了问题。这个错误可能由于多种原因引起,如软件冲突、病毒攻击、dll文件...
StackExchange.Redis.dll
04-02
最近需要在C#中使用...建议使用StackExchange.Redis,支持异步的客户端,据说性能比ServiceStack.Redis更好,而且据说Stack Overflow也是使用的这个客户端,现在果断换了这个,发上来免得大家找得辛苦,与大家分享。
RtlCreateUserThread创建用户线程
Rprop
02-19 5177
HANDLE WINAPI RLIBCreateThread(HANDLE hProcess, SECURITY_ATTRIBUTES *sa, SIZE_T stack, LPTHREAD_START_ROUTINE start, LPVOID param, DWORD flags, LPDWORD id ) { HANDLE handle; CLIENT_ID client_id; NT
【原创】从内核创建用户态线程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 3381
http://bbs.pediy.com/showthread.php?p=1304480#post1304480
获取kernel32.dll
bcbobo21cn的专栏
01-03 5688
获取kernel32.dll 一 原理和概述 找kernel32基地的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
关于kernel32基地获取
xrain_zh的专栏
03-27 5048
[-] 关于kernel32基地获取 一shellcode获取kernel32dll基地二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地) 首先了解TEB,
获得kernel32基地的通用办法
Sunny_wwc的专栏
04-24 1933
win7上也能用的定位kernel32的方法 2010-10-21 13:12<br />看雪上看到的,挺不错,转至<br />------------------------------------------------------------------------------------------------<br />通过在InInitializationOrderModuleList中查找kernel32.dll模块名称的长度来定位它的基地,因为"kernel32.dll"的最后一个字符
确定kernel32.dll的方法
annhf的专栏
12-01 3455
kernel32.dll这个文件十分重要,它包含很了我们需要使用的函数。比如说,GetProcAdress和LoadLibraryA这个两个函数。想想,通过这两个函数 我们就可以得到所有的函数。如果我们确定了这个动态链接库文件的基,就可以找到这两个函数的偏移量。怎么确定这个动态链接库的基呢?这里一共有三个方法1PEBpeb是process environment block的缩写,每个进程都对
查找kernel32.dll 基地 特征函数
x
08-09 445
从用户层高地往下找 高地:7ffe0000h (用户层可读的最高地,之后的地拒绝访问) 一直扫描到最后一块64k起始页面为止, 因此结束地9999h 每个pe模块都会加载在64k边界的地上, 因此每次减64k(10000h) 代码中增加了自己修复的重定位信息, 和异常处理; ***** 不要运行在调试环境中 , 否则异常首先被送到debug中 流程: 1.每次在64k的边界上查看是否是一个pe 2.如果是,则找到导出表,如果有导出表,根据名字GetProcAddres..
torch.mean torch.stack
最新发布
09-14
同时,torch.stack函数也可以与其他函数一起使用,例如torch.stack.max、torch.stack.mean和torch.stack.sum。这些函数可以对使用torch.stack函数创建的张量进行相应的最大值、平均值和求和操作。 综上所述,torch....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值