病毒技术之动态获取API函数地址

最新推荐文章于 2022-07-30 08:17:26 发布
VIP文章 最新推荐文章于 2022-07-30 08:17:26 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: Asm Code 文章标签: api image include exception dos dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntdll/article/details/514044
版权

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 公用模块:_GetKernel.asm
; 根据程序被调用的时候堆栈中有个用于 Ret 的地址指向 Kernel32.dll
; 而从内存中扫描并获取 Kernel32.dll 的基址
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;
;
;
;
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 错误 Handler
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_SEHHandler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext

  pushad
  mov esi,_lpExceptionRecord
  mov edi,_lpContext
  assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT
  mov eax,_lpSEH
  push [eax + 0ch]
  pop [edi].regEbp
  push [eax + 8]
  pop [edi].regEip
  push eax
  pop [edi].regEsp
  assume esi:nothing,edi:nothing
  popad
  mov eax,ExceptionContinueExecution
  ret

_SEHHandler endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 在内存中扫描 Kernel32.dll 的基址
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_GetKernelBase proc _dwKernelRet
  local @dwReturn

  pushad
  mov @dwReturn,0
;********************************************************************
; 重定位
;*****************

最低0.47元/天 解锁文章
ntdll
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何输出类的非静态成员函数地址
philips的专栏
01-16 2569
地址 http://blog.sina.com.cn/s/blog_6f6c0f350100w3zf.html 首先我们定义一个类Ctest,类里面包含三个不同形式的成员函数,静态成员函数statFunc()、动态成员函数dynFunc()和虚拟函数virtFunc()。在main函数中我们利用cout标准输出流分别输出这三个函数地址,程序如下所示: #include
linux下查找动态库中函数地址实例代码
hpp24的专栏
08-12 4905
dl_iterate_phdr可以查到当前进程所装在的所有符号,每查到一个就会调用你指定的回调函数。 下面的代码示例如何使用dl_iterate_phdr和dladdr #define _GNU_SOURCE #include  #include  #include  static int callback (struct dl_phdr_info *info, size_t
3.4 动态定位API函数地址(原理)
qq_55202378的博客
07-30 1125
动态定位 API函数1
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1085
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
病毒程序的重定位+动态获取API+获取kernel32.dll基地址+钩子+驻留内存
chopstics的专栏
07-07 3623
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
动态获取API函数地址---对抗win7 aslr安全机制
gudujianjsk的专栏
03-11 1685
本人近期在研究缓冲区溢出,在学习中发现,win7下系统关键函数地址随机化了(每次重启后地址有变),为了解决地址定位问题,在偌大的互联网上找了好久,贴来分享下,以作备用。 -----------------------------------------------------------------------------------------------------------------
病毒技术实验报告
04-03
获取API函数地址的代码和报告
Virus-Learning:感染PE文件的病毒学习过程
05-28
API函数地址获取: 1)暴力搜内存中kernel32.dll基址 2)通过PEB获取kernel32.dll基址 感染PE文件 磁盘递归搜索技术 主要功能: 感染桌面上所有的exe后缀文件,使之弹出MessageBox,并继续运行原有程序 注意事项:...
20秋学期(1909、2003、2009-)《计算机病毒分析》在线作业.docx
05-23
20秋学期(1709、1803、1809、1903、1909、2003、2009 )《计算机病毒分析》在线作业 ()是可以记录程序详细的运行信息的调试技术。 A:内存映射 B:基地址重定位 C:断点 D:跟踪 答案:D 在WinDbg的搜索符号中, ()...
amber:反光PE包装机
05-11
琥珀色使用和来不显眼地解析Windows API函数地址。 在将PE文件加载并在内存中执行后,将删除反射性有效负载,以逃避内存扫描程序。 由EgeBalcı@ 开发。 安装 预编译的二进制文件可以在下找到。 从源头建造 构建...
加载动态库 获得函数地址
diaoyao1979的博客
06-25 453
1 HMODULE hDll =LoadLibrary("DLL.dll"); 2 pfnTestRun FuncAddress= NULL; 3 FuncAddress=(pfnTestRun)GetProcAddress(hDll,"TestRun"); 4 FreeLibrary(hDll); 5 /////////////////////////...
动态链接库中函数地址确定---PLT…
shangyaowei的专栏
12-19 873
前面写过动态链接库 延迟绑定的一篇博文,那篇文章我非常喜欢,但是当时刚搞清楚,自己写的比较凌乱,我最近学习了Ulrich Drepper的How to write share library,学习了几篇其他的讲述动态链接的文章,再次整理了这篇文章。     有一个问题是我们调用了动态链接库里面的函数,我们怎么知道动态链接库里面的函数地址呢?事实上,直到我们第一次调用这个函数,我们并不知道这
c++查看动态库中函数地址
她的吻让他
05-07 3119
我们知道在生成动态库时,如果使用.def文件.那么可以在.def中定义函数地址即例: add @1这种方式.但毕竟这是一种取巧的方式,如果你想获得任何一个动态库中函数地址,那么我这边可以提供两个方法.(1)使用vs自带的功能我用的是VS2005打开工具选项,下面有Visual Studio 2005 Command Prompt打开是这样在里面输入命令dumpbin -export dll(这只是...
windowsapi函数参考手册下载 csdn
最新发布
06-22
CSDN作为国内最大的IT技术社区,提供了非常便利的Windows API函数参考手册的下载服务。 在CSDN上下载Windows API函数参考手册,可以方便地获取最新版本的手册内容,而且下载速度也非常快,不需要进行任何费用或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值