利用FS寄存器获取KERNEL32.DLL基址算法的证明

最新推荐文章于 2023-01-08 11:17:02 发布

int2e

最新推荐文章于 2023-01-08 11:17:02 发布

阅读量5k

点赞数 1

分类专栏：技术文章文章标签：算法 c parameters exception list exe

本文链接：https://blog.csdn.net/int2e/article/details/2032732

版权

本文详细介绍了三种利用FS寄存器获取KERNEL32.DLL基地址的经典算法，并通过内存分析进行逐一证明。算法包括通过PEB、TEB和SEH链来寻找KERNEL32.DLL基址，每种方法均通过实际内存数据进行了验证。

摘要由CSDN通过智能技术生成

FS寄存器指向当前活动线程的TEB结构（线程结构）

偏移说明

000 指向SEH链指针

004 线程堆栈顶部

008 线程堆栈底部

00C SubSystemTib

010 FiberData

014 ArbitraryUserPointer

018 FS段寄存器在内存中的镜像地址

020 进程PID

024 线程ID

02C 指向线程局部存储指针

030 PEB结构地址（进程结构）

034 上个错误号

在shellcode中用它来找KERNEL32.DLL基地址是常见的算法了，经典的三种算法都用到了FS寄存器！她们是：

1. 通过PEB(FS:[30])获取KERNEL32.DLL基地址

2. 通过TEB(FS:[18])获取KERNEL32.DLL基地址

3. 通过SEH(FS:[00])获取KERNEL32.DLL基地址

下面分别证明之。

命题一：通过PEB(FS:[30])获取KERNEL32.DLL基地址

算法描述：

mov eax,fs:[30h] ;得到PEB结构地址

mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址

mov esi,[eax + 1ch]

lodsd ; 得到KERNEL32.DLL所在LDR_MODULE结构的

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

int2e

关注关注

1
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

效率极高的分类算法

blotemj.blog.csdn.net

07-01

1948

效率极高的分类算法　　在网站建设中，分类算法的应用非常的普遍。在设计一个电子商店时，要涉及到商品分类；在设计发布系统时，要涉及到栏目或者频道分类；在设计软件下载这样的程序时，要涉及到软件的分类；如此等等。可以说，分类是一个很普遍的问题。　　我常常面试一些程序员，而且我几乎毫无例外地要问他们一些关于分类算法的问题。下面的举几个我常常询问的问题。你认为你可以很轻松地回答么^_^. 　　1、分类...

实战篇3：一切皆对象，文件目录体系（节点树）

weixin_53295593的博客

03-30

2333

AOS与阿里名称冲突，现改为OACS；面向对象汇编语言OASM（Object assembly language），又带一点点C风格，改名为OACS、即是带一点C风格的面向对象汇编语言系统（Object assembly language C system）。一切皆对象，相比unix/linux的一切皆文件，会显得范围更广一些；许多内核对象，如内存对象、CPU对象、IPC对象、线程对象、等等，是没有文件i节点的。c语言功能也强大，但个人认为、想用好并不容易；这段时间，看了不少嵌入式操作系统及相关的源代码；给

参与评论您还未登录，请先登录后发表或查看评论

获取kernel32基址的另两种方法

08-14

1983

病毒运行时可能会用到某些API，但如果导入表中没有的话，病毒的可移植性就不能保证。已经知道ntdll.dll和kernel32.dll是每个进程都需要加载的，如果知道了kernel32在进程中的地址，就能找到LoadLibrary和GetProcAddress从而加载其他dll文件并调用里面的API。以前学到过利用PEB结构来获得kernel32在进程中的基址其实还有两种常用的方法

获取Kernel32基地址的几种方法

liwei8703的专栏

12-15

1324

1、CreateProcess函数在完成装载应用程序后，会先将一个返回地址压入到堆栈顶端，而这个返回地址恰好在Kernel32.dll中，利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索，那么我们一定可以找到Kernel32模块的基地址，废话少说，代码如下：GetK32Base: mov eax, [esp+04h] ;得到kernel32的返回地址 and

获取kernel32.dll基址

bcbobo21cn的专栏

01-03

5680

获取kernel32.dll基址一原理和概述找kernel32基地址的方法一般有三种：暴力搜索法、异常处理链表搜索法、PEB法。暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件（pe格式文件）运行的时候都加载kernel32.dll，可执行文件进入入口点执行后esp中存放的一般是 Ker

关于kernel32基地址获取

xrain_zh的专栏

03-27

5041

[-] 关于kernel32基地址获取一shellcode获取kernel32dll基地址二获取当前进程的PID 文件名以及完整路径关于kernel32基地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode（获取kernel32.dll基地址）首先了解TEB，

Win32 XP 下和WIN7下获取Kernel32基址的方法

weixin_30674525的博客

03-16

245

;xp下使用_GetKernelBase proc local @dwRet pushad assume fs:nothing mov eax,fs:[30h] ;获取PEB所在地址 mov eax,[eax+0ch] ;获取PEB_LDR_DATA 结构指针 mov esi,[eax+1ch] ;获取InInitializationOrderModuleL...

漏洞利用原理（初级）

wk19951125的博客

08-09

624

开发shellcode的艺术shellcode概述shellcode与exploit定位shellcode栈帧移位与jmp esp shellcode概述 shellcode与exploit shellcode：通称缓冲区溢出攻击中植入进程的代码。 exploit：一般以一段代码的形式出现，用于生成攻击性的网络数据包或者其他形式的攻击性输入。核心是淹没返回地址，劫持进程控制权，之后跳转去执行sh...

Shellcode

weixin_43916678的博客

07-07

8997

shellcode简介 shellcode是一段用于利用软件漏洞而执行的代码，也可以认为是一段填充数据，shellcode为16进制的机器码，因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后，塞入一段可让CPU执行的shellcode机器码，让电脑可以执行攻击者的任意指令。下面这张图就是shellcode工作流程，从功能上看，shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。 shellcode可以按照攻击者执行的位置分为本地s

fs寄存器获取PEB/TEB

shuishan_lmy的博客

05-24

1295

kernel32.dll基址

ListenerForTom的博客

04-01

793

得到KERNEL32.DLL基址的方法assume fs:nothing ;打开FS寄存器 mov eax,fs:[30h] ;得到PEB结构地址 mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址 mov esi,[eax + 1ch] ;InInitializationOrderModuleList l

利用FS寄存器得到任意函数地址

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

11-16

1335

[plain] view plaincopy ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ; ; 程序函数说明：利用fs寄存器，得到任意的函数地址 ; by：瀚海 2011年11月19日

【免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称

m0_62783065的博客

01-08

630

【免杀】通用shellcode原理——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称

确定kernel32.dll基址的方法

annhf的专栏

12-01

3450

kernel32.dll这个文件十分重要，它包含很了我们需要使用的函数。比如说，GetProcAdress和LoadLibraryA这个两个函数。想想，通过这两个函数我们就可以得到所有的函数。如果我们确定了这个动态链接库文件的基址，就可以找到这两个函数的偏移量。怎么确定这个动态链接库的基址呢？这里一共有三个方法1PEBpeb是process environment block的缩写，每个进程都对

汇编基本语法

02-22

2206

汇编部分 1、call 的本质相当于push+jmp,ret的本质相当于pop+jmp。 2、Windows中，不管哪种调用方式都是返回值放在eax中，然后返回。外部从eax中得到值。 3、Ebp总是被我们用来保存这个函数执行之前的esp的值。 4、把局部变量区域初始化成全0cccccccch,0cch实际是int 3 指令的机器码，这是一个断点中断指令。 5、任何一段中间不加任何跳转，

汇编指令之CMP， TEST指令

antangtong2499的博客

09-06

816

一、CMP指令这一块呢，我不想上图了，汇编的博文我已经快要让我写吐了，其实也有好多我没有补充进来，比如进制，LEA指令，数据宽度，有符号，无符号的区分等等，但我真的要吐了，这些玩意我已经不是第一次写了，也不是第一次看了，以前我是习惯于在EXCEL上写，这一次由于是我对汇编遗忘的有点狠，想从头复习一遍，刚好把这个复习的过程上传到博客园来，于是就有了这些文章，这两条指令，如果有兴趣，大家...

汇编fs 寄存器

最新发布

07-14

### 回答1：获取模块.dll文件的基址和偏移量通常用于进行动态链接库注入或者修改内存数据等操作。以下是一种常见的方法： 1. 获取目标进程的句柄。可以使用函数OpenProcess来打开目标进程，获取其句柄。传入参数为目标进程的ID和所需的访问权限。 2. 枚举模块并找到目标模块。使用函数EnumProcessModules来枚举目标进程的模块，获取模块的句柄。传入参数为目标进程的句柄、模块句柄数组和数组的大小。如果函数执行成功，返回值为模块句柄的数量。 3. 获取模块的文件名。使用函数GetModuleBaseName来获取模块的文件名。传入参数为目标进程的句柄和模块的句柄。 4. 获取模块的基址和大小。使用函数GetModuleInformation来获取模块的基址和大小。传入参数为目标进程的句柄、模块的句柄和包含模块信息的结构体。 5. 获取模块的导出表。使用函数GetProcAddress来获取模块的导出函数的地址。传入参数为模块的基址和导出函数的名称。通过上述方法，就可以获取到目标模块的基址和偏移量。不同的编程语言和环境会有相应的函数和方法来实现以上步骤，但基本思路是一致的。 ### 回答2：要获取一个模块(.dll文件)的基址和偏移，我们可以通过一些编程语言来实现。下面是一个使用C++编程语言的示例： 1. 首先，我们需要加载目标模块。可以使用`LoadLibrary`函数来加载.dll文件，并得到模块的句柄。例如： ```cpp HMODULE hModule = LoadLibrary(TEXT("target.dll")); ``` 2. 然后，我们可以使用`GetModuleInformation`函数来获取模块的基址和偏移。该函数需要提供进程的句柄和模块的句柄，并返回一个`MODULEINFO`结构体，其中包含了基址和大小等信息。例如： ```cpp MODULEINFO moduleInfo; GetModuleInformation(GetCurrentProcess(), hModule, &moduleInfo, sizeof(moduleInfo)); ``` 3. 最后，可以通过计算地址偏移来得到具体的地址。例如，要获取某个函数的地址，可以将函数的偏移加上模块的基址。示例代码如下： ```cpp DWORD functionOffset = 0x1234; // 假设函数的偏移为0x1234 DWORD functionAddress = moduleInfo.lpBaseOfDll + functionOffset; ``` 总结：通过加载模块并获取模块信息，我们可以得到模块的基址和偏移。然后，我们可以根据需要进行地址计算来获得具体的地址。需要注意的是，以上示例是使用C++编程语言的示例，其他编程语言也有类似的函数或方法可以实现相同的功能。