病毒技术之动态获取API函数地址

最新推荐文章于 2022-07-30 08:17:26 发布
最新推荐文章于 2022-07-30 08:17:26 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Asm Code 文章标签: api image include exception dos dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntdll/article/details/514044
版权
本文详细介绍了如何通过病毒技术动态获取Kernel32.dll的基址,并利用此技术查找特定API的入口地址。通过创建SEH结构处理错误,从内存中扫描和解析PE文件头来实现API地址的获取。
摘要由CSDN通过智能技术生成

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 公用模块:_GetKernel.asm
; 根据程序被调用的时候堆栈中有个用于 Ret 的地址指向 Kernel32.dll
; 而从内存中扫描并获取 Kernel32.dll 的基址
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;
;
;
;
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 错误 Handler
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_SEHHandler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext

  pushad
  mov esi,_lpExceptionRecord
  mov edi,_lpContext
  assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT
  mov eax,_lpSEH
  push [eax + 0ch]
  pop [edi].regEbp
  push [eax + 8]
  pop [edi].regEip
  push eax
  pop [edi].regEsp
  assume esi:nothing,edi:nothing
  popad
  mov eax,ExceptionContinueExecution
  ret

_SEHHandler endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 在内存中扫描 Kernel32.dll 的基址
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_GetKernelBase proc _dwKernelRet
  local @dwReturn

  pushad
  mov @dwReturn,0
;********************************************************************
; 重定位
;*****************

最低0.47元/天 解锁文章
ntdll
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1105
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
病毒基础系列-API函数地址获取
doskey的专栏
10-07 2942
                                              病毒基础系列                                           by Hume/冷雨飘心前言:   病毒没有什么可怕的,也并不象想像中的复杂,玩汇编的人如果没有看过病毒?简直是白活一遭...病毒就象是双刃剑,恶意使用就会带来恶果,我本人对于此类行为深恶痛绝!我们研究不是为了
动态获取API函数地址---对抗win7 aslr安全机制
gudujianjsk的专栏
03-11 1709
本人近期在研究缓冲区溢出,在学习中发现,win7下系统关键函数地址随机化了(每次重启后地址有变),为了解决地址定位问题,在偌大的互联网上找了好久,贴来分享下,以作备用。 -----------------------------------------------------------------------------------------------------------------
动态获取API地址
小发猫
06-15 4280
cncpp 动态获取API地址病毒界和密界中常用的程序设计技术Author: 属于中国破解组织 - xIkUg[BCG][DFCG][OCN][DCM][CZG]Date: 2004-07-28Email: xikug@163.comxIkUgs程序园: http://www.xp-program.comXP-极限编程: http://bbs.xp-program.com一点理论,Win32系
病毒常用API
07-18 604
SleepWSAConnectconnectbindsendSetFileAttributesWExitProcessMessageBoxWMessageBoxATerminateProcessWriteProcessMemoryReadProcessMemoryAdjustTokenPrivilegesOpenProcessTokenIsDebuggerPresentResumeThr...
精选_64位系统上获取SSDT表地址以及从中获取指定SSDT函数地址_源码打包
03-10
总之,这个压缩包提供了在64位Windows系统下获取SSDT表和函数地址技术细节,这对于系统级编程、驱动开发或安全研究者来说具有很高的学习价值。但同时,也强调了正确、合法使用这些知识的重要性,避免滥用导致不必...
MalwareResearchAPI:恶意软件研究的API函数
03-20
【标题】"MalwareResearchAPI:恶意软件研究的API函数" 在网络安全领域,恶意软件研究是至关重要的,它涉及到对病毒、木马、蠕虫等威胁的检测、分析和防御。MalwareResearchAPI是一个专为恶意软件研究设计的API函数...
动态获取API入口地址,使exe文件的导入表为空
liumengcheng的专栏
01-29 1782
本文出自罗云彬的win32汇编那本书,我稍微做了一下修改 Windows在执行一个exe文件的时候会调用Kernel32.dll中的CreateProcess来启动应用程序的主程序,在执行应用程序之前windows会push返回地址。这个返回地址通过程序入口的[esp]就能得到。为什么要说这个返回地址呢,因为这个返回地址在Kernel32.dll模块中,而GetProcAddress和LoadL
加载动态库 获得函数地址
diaoyao1979的博客
06-25 470
1 HMODULE hDll =LoadLibrary("DLL.dll"); 2 pfnTestRun FuncAddress= NULL; 3 FuncAddress=(pfnTestRun)GetProcAddress(hDll,"TestRun"); 4 FreeLibrary(hDll); 5 /////////////////////////...
linux下查找动态库中函数地址实例代码
hpp24的专栏
08-12 5103
dl_iterate_phdr可以查到当前进程所装在的所有符号,每查到一个就会调用你指定的回调函数。 下面的代码示例如何使用dl_iterate_phdr和dladdr #define _GNU_SOURCE #include  #include  #include  static int callback (struct dl_phdr_info *info, size_t
3.4 动态定位API函数地址(原理)
qq_55202378的博客
07-30 1223
动态定位 API函数1
病毒程序的重定位+动态获取API+获取kernel32.dll地址+钩子+驻留内存
chopstics的专栏
07-07 3700
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
病毒使用的API CreateDesktop
取次花丛懒回顾,半缘修道半缘君
08-09 386
首先是这样的。。之前分析某个病毒的时候,一直搞不懂这个API CreateDesktop。。后来自己实践了会儿,大致就是可以把创建的进程运行在此桌面中,达到无法直接在本机桌面显示的效果。。代码如下:int _tmain(int argc, _TCHAR* argv[]) { if (argc < 2) { printf("Usage: runhidden \n"); return -
病毒分析技巧之API地址获取
蚁景网安学院
02-24 1099
点击蓝字关注我们0x00目的 通过该实验,使学生掌握使用PEB结构确定kernel32.dll地址的方法与原理,通过对PE导出表结构分析来理解获取API函数地址的方法,最终通过编码完...
Windows恶意软件API调用特征分析
weixin_34010949的博客
09-25 875
本文讲的是Windows恶意软件API调用特征分析, 1.背景 目标: 1)找到病毒调用概率高的API 2)找到病毒调用概率不高,但是当调用频次高的时候,是病毒概率高的API。 通常对病毒使用API的认识都是基于病毒工程师的经验,但是我们并不知道每个API对于是否是病毒的贡献有多大。通过对大量病毒样本的统计分析,我们可以得出相关的数据。 从网上下载30...
计算机病毒分析与对抗————3、PE文件型病毒
Fly_鹏程万里
04-24 3023
病毒如何感染PE文件?首先,判断文件是否是PE文件,接下来添加节:主要涉及到的技术如下:1、病毒感染重定位技术重定位的过程可以通过以下步骤进行:用CALL指令跳转到下一条指令,使下一条指令感染后在内存中的实际地址进栈。用POP指令取出栈顶的内容,这样就可以得到感染后下一条指令在内存中的实际地址感染后变量的地址=步骤(2)的地址-偏移地址代码如下:call test pop eax sub ea...
windowsapi函数参考手册下载 csdn
最新发布
06-22
CSDN作为国内最大的IT技术社区,提供了非常便利的Windows API函数参考手册的下载服务。 在CSDN上下载Windows API函数参考手册,可以方便地获取最新版本的手册内容,而且下载速度也非常快,不需要进行任何费用或者...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值