从堆栈查找Kernel32.DLL基址

最新推荐文章于 2024-06-13 16:08:38 发布
最新推荐文章于 2024-06-13 16:08:38 发布
阅读量1.7k 收藏
点赞数
分类专栏: WINDOWS 文章标签: null delphi header dos vc++ 测试

原理是这样的:

每个用户态进程的WinMain代码都是由启动代码(CRTStartup)调用的,而启动代码是kernel32.dll里的某个函数调用的,当然也可能没有WinMain和WinMainCRTStart之类的函数(如Delphi编译出的代码),但进程启动后,kernel32.dll中的一个的未知代码位置一定保存在堆栈里的,所以从顶往底测试堆栈里的元素,一定可以找到kernel32.dll的基址,写了一小段代码,在Win XP SP2,VC++ 6.0 SP5下测试通过,可以找到我机器上的kernel32.dll的基址是0x7C800000.
CODE:


#include <stdio.h>
#include <conio.h>
#include <windows.h>

DWORD GetKernel32(void)
{
DWORD TryAddr=0;
PIMAGE_DOS_HEADER pdos=NULL;
PIMAGE_NT_HEADERS pnt=NULL;
PIMAGE_EXPORT_DIRECTORY pied=NULL;
DWORD *pKernel=NULL;
int i=0;

PDWORD pEsp=(PDWORD)&pEsp;
BOOL bFound=FALSE;
do
{
  __try
  {
   TryAddr=*pEsp;
   
   for(i=0;i<4;i++)
   {
    TryAddr&=0xffff0000<<(i<<2);

    pdos=(PIMAGE_DOS_HEADER)TryAddr;
    pnt=(PIMAGE_NT_HEADERS)(TryAddr+pdos->e_lfanew);
   
    if(pdos->e_magic=='ZM'&&pnt->Signature=='EP')
    {
     pied=(PIMAGE_EXPORT_DIRECTORY)(TryAddr+pnt->OptionalHeader.DataDirectory[0].VirtualAddress);
     pKernel=(DWORD *)(TryAddr+pied->Name);

     //KERNEL32 or Kernel32
     if((*pKernel=='NREK'&&*(pKernel+1)=='23LE')||
      (*pKernel=='nreK'&&*(pKernel+1)=='23le'))
     {
      bFound=TRUE;
      break;
     };//end if pKernel

    }//end if pdos

   }//end for i
  }
  __except(1)
  {
   NULL;
  }
  pEsp++;
}while(!bFound);

return TryAddr;
}

int main(void)
{
printf("KERNEL32.DLL at:0x%.8X/n",GetKernel32());
return getchar();
}
eaglenet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kernel32.dll如何下载】kernel32.dll如何修复
weixin_44924153的博客
03-13 1万+
遇到因为kernel32.dll文件丢失而无法正常运行软件或游戏程序的朋友们不用着急了,根据小编整理的这篇教程文章,将dll文件放在操作系统“system32”文件夹的合适位置,便能解决这一问题。缺少哪一项dll,在运行软件时都将有窗口提醒,只需下载指定的dll文件即可。值得注意的是此类文件的丢失有时候和杀毒软件的误报毒有关,所以在使用杀毒软件时,如果提示kernel32.dll文件将被清除,还请阻止。以免下一次又弹出dll文件丢失窗口。 kernel32.dll如何修复 1、先下载kernel32.d
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
通常,可以利用PEB(Process Environment Block)结构来查找kernel32.dll的基地址。PEB是一个由系统分配的结构,包含了关于进程的各种信息。在x86架构中,FS段寄存器通常被用来指向当前线程的TEB(Thread ...
kernel32.dll动态链接库报错解决方法,详细解析kernel32.dll文件修复
电脑修复君的博客
12-14 1万+
在使用计算机过程中,你可能会遇到各种各样的错误消息。其中一个常见的错误是“找不到kernel32.dll”或类似的错误。这个错误消息通常会出现在运行某些程序时,可能会导致程序无法正常工作,甚至无法启动。那么,kernel32.dll到底是什么文件?为什么会出现找不到的情况呢?本文将详细介绍kernel32.dll的作用以及多种解决这个问题的方法。
无法定位程序输入点kernel32.dll,如何修复kernel32.dll
热门推荐
电脑修复君的博客
02-28 3万+
kernel32.dll是Windows操作系统中非常重要的一个系统文件,如果它丢失或损坏可能会导致许多应用程序无法正常运行。今天小编就来给大家详细的讲解一下无法定位程序输入点kernel32.dll,我们要怎么修复这个kernel32.dll缺失的问题。
《无主之地3》遭遇kernel32.dll文件丢失?快速掌握修复秘籍!
最新发布
Xixix777的博客
06-13 736
在沉浸于《无主之地3》(Borderlands 3)那无尽的宝藏猎人冒险时,你是否遭遇过游戏启动时令人头疼的“kernel32.dll文件丢失”错误?别担心,这并不意味着你的游戏之旅必须戛然而止。本文将详尽介绍kernel32.dll文件的重要性、丢失原因以及多种高效的修复策略,确保你能够迅速重回潘多拉星球,继续你的寻宝大业。
三种kernel32.dll动态链接库报错解决方法,如何修复kernel32.dll文件
szcsd123456789的博客
08-28 1万+
kernel32.dll动态链接库报错是因为电脑系统里的kernel32.dll文件被破坏了或者是文件被丢失,这种报错在电脑中经常会出现,所以今天给大家介绍三种kernel32.dll动态链接库报错解决方法,希望能够帮助到大家。先来了解一下为什么会出现kernel32.dll错误。
kernel32.dll文件丢失的几种解决办法,概述​kernel32.dll文件
szcsd123456789的博客
02-19 1763
kernel32.dll文件是Windows操作系统中的一个非常重要的动态链接库文件。它不仅被广泛用于操作系统本身的正常运行,还被许多应用程序所依赖。
20201124__KERNEL32.DLL.v3.zip
12-01
《深入解析KERNEL32.DLL.v3:Windows XP/2003 Server操作系统核心组件》 在Windows XP和2003 Server操作系统中,KERNEL32.DLL是至关重要的动态链接库,它作为Windows NT内核的一部分,为应用程序提供了一系列的基础...
threadstack.dll,CE修改器获取THREADSTACK0 地址
08-27
CE修改器获取THREADSTACK0 后,需要在程序中获取此地址,该dll是使用C++封装的一个库,使用此库只需要传入程序的PID以及线程的序号(如果是THREADSTACK0则序号为0以此类推),封装的dll可以被C# VB调用,理论上高级...
获取模块.dll文件 基址+偏移的 助手6.0
08-10
例如,"MD[<game.exe>+0053618]"表示在game.exe进程中的某个DLL模块,从基址开始计算0053618个字节的位置。 3. ** Cheat Engine (CE)**:这是一个流行的开源工具,用于游戏调试和作弊,它允许用户查找和修改内存中...
基址偏移量转换器.dll
05-09
绿色无毒,稳定快速完成相应任务,不闪退,绿色无毒,供专业人士下载!
kernel32.dll如何解决,教你如何快速修复kernel32.dll文件缺失问题
a555333820的博客
12-12 4827
本文将介绍kernel32.dll动态链接库报错的五种解决方法,并探讨kernel32.dll丢失对电脑的影响以及其作用的介绍。我们可以下载一个dll修复工具,使用dll修复工具进行修复操作非常简单(亲测可以修复),它可以自动检测电脑缺失或者损坏的dll文件,如果kernel32.dll缺失,dll修复工具检测到以后,便会自动安装kernel32.dll文件。kernel32.dll是Windows操作系统中的一个核心动态链接库文件,它包含了许多重要的函数和服务,用于支持各种应用程序和系统的正常运行。
kernel32.dll文件丢失的几种相应解决办法,成功解决丢失难题
szcsd123456789的博客
04-09 1929
当启动计算机并尝试运行某个应用程序时,屏幕上突然弹出一条醒目的错误提示:“电脑显示kernel32.dll丢失”。这也就意味着操作系统在当前环境下无法找到名为“kernel32.dll”的动态链接库文件。这个问题可能会导致一些应用程序无法正常运行,给用户带来困扰。为了解决这个问题,我将介绍四种修复方法,帮助大家恢复电脑的正常运行。
kernel32.dll 是什么库
weixin_35754676的博客
12-29 1257
kernel32.dll 是 Windows 操作系统中的一个动态链接库 (DLL)。它包含了许多系统功能的实现,包括文件系统、内存管理、进程控制和其他重要的操作系统服务。在 Windows 中,许多应用程序都会使用 kernel32.dll 提供的功能。 注意:kernel32.dll 不是纯粹的用户程序库,而是系统动态链接库,它是操作系统的一部分,并且无法直接编辑或修改。 ...
电脑提示“kernel32.dll”文件丢失,程序无法运行,解决方法
m0_70112216的博客
12-26 1151
很多小伙伴留言说,自己的电脑启动有些软件或游戏的时候,会弹出提示“”文件缺失,软件或游戏无法正常启动,需要重新安装,不知道应该怎么办?
kernel32.dll动态链接库报错解决方法,提供四种解决kernel32.dll报错的方法
szcsd123456789的博客
11-28 5149
当我们的电脑出现"kernel32.dll是无法找到的"或者"缺少kernel32.dll"这样的错误提示时, 则样的提示都是属于kernel32.dll动态链接库报错,出现这样的错误提示窗口,就说明程序无法成功读取到该动态链接库文件。本篇文章就给大家提供四种解决kernel32.dll报错的方法。
kernel32.dll如何修复,快速解决kernel32.dll缺失的方法
电脑修复君的博客
07-31 3949
Kernel32.dll是Windows操作系统中一个重要的系统文件,对于系统的正常运行至关重要。然而,由于各种原因,用户可能会遇到kernel32.dll文件的缺失问题。今天小编就来给大家详细的介绍一下kernel32.dll这个文件,并且详细的介绍一下kernel32.dll如何修复。
kernel32.dll是什么 ,分享一些解决kernel32.dll丢失的修复方法
szcsd123456789的博客
11-10 656
kernel32.dll丢失?电脑突然出现这样的弹窗错误是为什么?那么kernel32.dll是什么的东西呢?今天就带大家了解小编对于kernel32.dll的理解和作用,同时在给小伙伴们分享一些解决kernel32.dll丢失的修复方法。
kernel32.dll下载地址分享,Kernel32.DLL文件丢失的修复指南
电脑修复君的博客
11-18 3963
作为计算机用户,我们可能都曾遭遇过这样一条令人烦恼的错误信息: "程序无法启动,因为您的计算机中缺少Kernel32.dll"。在这种情况下,往往会引发一系列疑问: Kernel32.dll是什么?为什么它对我的电脑如此重要?如何找回并修复缺失的Kernel32.dll文件呢?本文将与你深入探讨这些问题,并提供详尽的解决方案,以帮助你顺利应对Kernel32.dll文件丢失的问题。
获取模块.dll文件 基址+偏移的
07-14
获取模块.dll文件的基址和偏移量通常用于进行动态链接库注入或者修改内存数据等操作。以下是一种常见的方法: 1. 获取目标进程的句柄。 可以使用函数OpenProcess来打开目标进程,获取其句柄。传入参数为目标进程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值