动态调用API方法PEB方法

最新推荐文章于 2022-02-09 19:06:26 发布
最新推荐文章于 2022-02-09 19:06:26 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: api search hex c

Rhett的代码
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>

int main(int argc, char* argv[])
{    
    _asm
    {
        mov         eax,fs:30h
        mov         eax,[eax+0Ch]
        mov         esi,[eax+1Ch]
        lodsd
        mov         ebp,[eax+8]

        mov         eax,[ebp+3Ch]
        mov         edx,[ebp+eax+78h]
        add         edx,ebp
        mov         ecx,[edx+18h]
        mov         ebx,[edx+20h]
        add         ebx,ebp
search:
        dec         ecx
        mov         esi,[ebx+ecx*4]
        add         esi,ebp

        mov         eax,0x64616F4C
        cmp         [esi],eax
        jne         search
        mov         eax,0x7262694C
        cmp         [esi+4],eax
        jne         search
        mov         eax,0x41797261
        cmp         [esi+8],eax
        jne         search

        mov         ebx,[edx+24h]
        add         ebx,ebp
        mov         cx,[ebx+ecx*2]
        mov         ebx,[edx+1Ch]
        add         ebx,ebp
        mov         eax,[ebx+ecx*4]
        add         eax,ebp
    }
   
    return 0;
}

进程初始化后FS:0 指向 TEB
TEB里偏移30h处是PEB地址;
mov       eax,[eax+0Ch]
mov       esi,[eax+1Ch]
这个是先后得到PEB_LDR_DATA 和 InitializationOrderModuleList头部地址;
这个列表里第 2 项就是kernel32.dll的地址;
后面是从PE的导出表查找函数名,和LoadLibraryA的hex表示比较,然后得到函数地址;
用这种方法再得到 GetProcAddress函数地址,然后就可以获取别的函数地址;
很苯的方法,over!

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 136
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
恶意代码常用API混淆方法及处理方式
05-13 1308
很多文章不能更新至CSDN,可以关注我的同名公众号(程序员启航) 1.摘要 我们在分析恶意代码时经常会遇到,静态分析恶意代码时导入表没有任何导入函数的情况,这种情况通常是恶意代码混淆了API,很多恶意代码尝试混淆它们使用的API来对抗静态分析,API被混淆后静态分析几乎无法得到有效的信息,下面我总结了恶意代码经常用到的混淆API方法,和处理它们的方法 2.恶意代码常用api混淆方法 第一种恶意代码自己创建IAT,自己实现类似于LoadLibrary和GetProcAddress功能的函数.
简单的api实现以及动态函数调用
weixin_30326745的博客
12-25 181
实现一个简单的api功能,环境python2.7 请求方法:curl http://ip:8000/?name={api中的方法名}|python -m json.tool 只需编写api方法即可 详情参考官方文档:https://www.python.org/dev/peps/pep-0333/ #!/usr/bin/env python #coding:utf-8 i...
动态调用API函数
kjgmj的专栏
01-31 491
'1 Private Declare Function LoadLibrary Lib "kernel32" Alias "LoadLibraryA" (ByVal lpLibFileName As String) As Long '2 Private Declare Function GetProcAddress Lib "kernel32" (ByVal hModule As
通过PEB获取模块基址
SUNE__学无止境
05-29 4130
PEB结构typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptions; /*002*/ UCHAR BeingDebugged; /*003*/ UCHAR SpareBool; // Allocation size /*004*/ H
[ScyllaHide] 03 PEB相关反调试
kinghzking的专栏
12-21 484
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 PEB相关反调试 反调试,接触算是有四五年了,每次遇到问题,都是一头雾水,不知如何下手,总是通过换调试器、找插件进行各种测试。翻看过很多文章,却又总是蜻蜓点水,希望通过ScyllaHide的源码分析,能对反调试有进一步的了解吧。 先说下,最近翻看资料对反调试的理解吧。 首先
API-动态调用 以.NET Framework程序为例子
Gum___的博客
02-09 810
在学习API创建的过程中,需要使用一个应用程序触发调用API,用以记录。 1、首先创建一个.NET Framework窗体程序,以4.0版本为例 左侧为动态调用使用的区域,Button用来调用,Textbox用来显示返回结果。 首先使用到名为WSHelper.cs动态库,非本人所写,稍后上传。 2、在解决方案中添加类库,用以放置项目中所需的动态库。 添加完成后-》右击类库-》点击在文件资源管理器中打开。 将下载的WSHelper.cs动态库放入文件夹中 在资源管理器中显示所..
枚举windows进程模块的几种方法PEB内核结构详解
阔野的专栏
11-18 5062
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
动态定位API函数之shellcode编写
mdp1234的博客
11-28 1073
通用shellcode编写动态定位API 背景: 如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行 这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用
易语言-eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
06-25
使用过动态调用DLL的都清楚取模块基址和函数指针,微软默认使用字符串对比,本模块可使用哈希对比效率和易用上相对提升,本函数用于计算模块或函数哈希 X64Call 调用 64 位函数通用版本 X64CallArr 调用 64 位函数...
VB如何动态调用API方法演示.rar
07-10
VB如何动态调用API方法演示,最简单的调用API函数,动态调用API函数显示的MSGBOX内容,下面将要在作面画一笔。   函 数 名:ExecuteAPI   输入 :LIBPath(String) - 刷新的目标窗口句柄,可为0   APIScript(String) - 场景图像的宽度   返回 :(Long) - 返回零表示失败,非零表示成功   功能描述 :动态执行类库里的API函数
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6240
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取peb的地址。大家不妨试试,直接将
动态调用动态语言--脚本API
qq_25476793的专栏
02-06 524
我们不需要将动态语言编译为 Java字节码就可以在 Java 应用程序中使用它们。使用 Java Platform, Standard Edition 6 (Java SE)中添加的脚本包(并且向后兼容 Java SE 5),Java 代码可以在运行时以一种简单的、统一的方式调用多种动态语言。本系列文章共分两个部分,第 1 部分将介绍 Java 脚本 API 的各种特性。文章将使用一个简单的 He
PEB结构的获取
SauceJ的专栏
08-15 3523
PEB结构----枚举用户模块列表。 PEB
C++写壳之高级篇
qq_31507523的博客
05-10 1117
C++写壳之高级篇 之前在写了写壳基础篇,现在就来完成写壳高级篇。有了写壳基础后,才能在其基础上逐步实现高级功能,加壳的目的主要是防止别人破解,而想要别人很难破解,我认为要在花指令、混淆和指令虚拟化上大量的时间及脑力才能做到,这个比较费力不讨好。我在此就说说一些能快速入门的反调试技术。 主要工具: VS2017、x64dbg、LordPE、OD 实验平台:win10 64位 实现功能:反调试、Ha...
peb获取kernel32基址,用第一和第二种
收集学习过程中对自己有帮助的牛人文章
10-15 1739
通过PEB枚举当前进程空间中用户模块列表也可以获取Kernel32模块的基地址,fs:[0]指向TEB,fs:[30h]指向PEBPEB偏移0ch是LDR指针,以下可以分别通过加载顺序、内存顺序、初始化顺序获取Kernel32模块的基地址,这里以初始化顺序为例: 未公开的LDR_MODULE数据结构如下: typedef struct _LDR_MODULE {     LIST
浅谈杀毒原理
zzmzzff的博客
05-13 7927
近几年杀毒软件泛滥,很多人不知道该如何选择合适的杀毒软件,也许杀毒软件并非是必需的,但这不是今天要谈论的话题,今天要谈的是杀毒软件究竟是个什么东西,它到底是如何杀死病毒的,也许当你了解了它的工作原理和运行模式,你也许对病毒也会有所认识,不再感到畏惧。 杀毒软件(Anti Virus),也称反病毒软件,以下可简称AV软件,是一种保护用户的数据和信息的一套安...
通过PEB寻找函数地址
weixin_30781107的博客
08-27 528
  通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。   摘自PEB LDR DATA: typedef struct _PEB_LDR_DATA { 0x00 ULONG Length; /* Size of structure, used...
peb修改路径后不起效
最新发布
07-15
3. 函数缓存:某些函数在调用时会缓存PEB中的路径信息,以提高性能。因此,如果修改了PEB中的路径,可能需要等到缓存被刷新后才能生效。 4. 读写权限:PEB中的路径信息可能受到访问权限的限制。如果没有足够的权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值