逆向总结(3)-- 无模块遍历API(找到Kernel32.dll)

最新推荐文章于 2022-05-24 00:22:21 发布
最新推荐文章于 2022-05-24 00:22:21 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50456090
版权
在逆向工程中,有时需要无模块地找到Kernel32.dll的基址。该过程涉及通过FS段获取TEB地址,然后依次访问PEB、PEB_LDR_DATA结构,找到InInitializationOrderModuleList链表,从而获取模块信息。在NT5.x系统中,Kernel32.dll位于链表的第二个节点,而在NT6.1中则是KernelBase.dll。
摘要由CSDN通过智能技术生成

很多的时候,我们需要使用到无模块获取到Kernel32.dll的基址,这时候,我们就需要借助FS还完成:

      1)通过FS得到TEB的地址

         2)TEB偏移0x30处指向的是PEB指针

         3)PEB偏移0x0C处指向PEB_LDR_DATA结构指针

         4)PEB_LDR_DATA偏移0x1C处是InInitializationOrderModuleLis(模块初始化链表的头指针)

         5)InInitializationOrderModuleLis中按顺序存在着此进程的初始化模块信息,在NT5.x内核中,第一个节点为ntdll.dll的基址,第二个节点为Kernel32.dll的基址; 在NT6.1内核中,第二个节点为KernelBase.dll的基址(包含着Kernel32.dll的大部分实现,其中就有GetProcAddress函数)



代码





#include "stdafx.h"
#include <windows.h>




//#define CONTAINING_RECORD(address, type, field) ((type *)( (PCHAR)(address)-(ULONG_PTR)(&((type *)0)->field)))


typedef struct _UNICODE_STRING {
<span style="white-space:pre">	</span>USHORT  Length;
<span style="white-space:pre">	</span>USHORT  MaximumLength;
<span style="white-space:pre">	</span>PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;


typedef struct _PEB_LDR_DATA
{
<span style="white-space:p
最低0.47元/天 解锁文章
布衣僧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
KERNEL32 API函数
12-16
一个非常全的KERNEL32[1].DLL API函数库文档。
逆向分析kernel32.dll!_except_handler3函数
03-15 3375
引言:_except_handler3是BaseProcessStart的异常处理函数。7C839AF0 ; int __cdecl _except_handler3(EXCEPTION_RECORD *argExceptionRecord,7C839AF0 _EXCEPTION_REGISTRATION *argEstablisherFrame, _CONTEXT *argContex
模块遍历
flowwaterdog的博客
04-26 564
模块遍历 模块遍历与进程遍历类似 遍历模块需要几个API,和一个结构体   1.创建进程快照   2.遍历首次模块   3.继续下次遍历   4.模块信息结构体 API 分别是: 1.创建进程快照 HANDLE WINAPI CreateToolhelp32Snapshot(      进程快照API DWORD dwFlags,                 遍历的标志,表示你要遍...
API遍历进程的几种方式
weixin_30610755的博客
10-11 393
1、说明 枚举进程的常见几种方法 方法1:CreateToolhelp32Snapshot()、Process32First()和Process32Next() 方法2:EnumProcesses()、EnumProcessModules()、GetModuleBaseName() 方法3:Native Api的ZwQuerySystemInformation 方法4:wtsapi32....
获取Kernel32基地址的几种方法
liwei8703的专栏
12-15 1298
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
电子科技大学软件安全搜索API实验
01-05
通过遍历模块初始化链表InInitializationOrderModuleList,可以找到kernel32.dll的节点,并计算其基地址。 第二部分涉及定位LoadLibrary()和GetProcAddress()的地址。首先,从kernel32.dll的基地址开始,找到PE头,...
DllViewer--.rar
08-07
- **引用Windows库**:在项目属性中,确保已链接到`kernel32.lib`和`user32.lib`,因为这两个库包含了用于操作DLLAPI。 - **实现代码**:在源文件中,根据上述步骤实现DLL加载、导出表获取和解析、以及函数信息的...
周玉川-2017221302006-第二次实验1
08-08
7. **模块初始化链表**:这是一个链表,包含了按初始化顺序加载的DLL模块,可以通过此链表找到kernel32.dll。 8. **函数导出表**:PE头中包含了导出表,用于指示DLL对外提供的函数及其地址。 9. **汇编语言编程**...
精选_根据PE文件格式从导入表中获取加载的DLL遍历导入函数名称和地址_源码打包
03-09
1. **DLL名称**:这是程序需要调用的动态链接库的名称,如kernel32.dll或user32.dll。 2. **导入地址表(IAT,Import Address Table)**:包含了程序运行时函数调用的实际地址。在PE文件被加载到内存后,操作系统会...
SSDT表概念及遍历
06-25
SSDT是系统服务的入口点,它定义了系统如何响应用户模式应用程序调用的kernel32.dll中的各种系统服务函数。这些服务涵盖了从文件I/O到进程管理等广泛的操作。 SSDT是一个动态链接表,包含了一系列指向系统服务处理...
恶意软件分析实战16-逆向Lab7-3
輚至消亡
09-28 320
该实验包含2个文件, 一个是Lab07-03.exe, 另一个是Lab07-03.dll 双双没加壳: 先把exe文件拖入VT内: 发现如下, 大体猜测一下是搜索某个文件然后将找到后拷贝之类的操作。 查看一下dll文件的情况: 来看看具体的 首先进去后对比命令行参数是否为2个,不是则退出。对比参数是否为"WARNING_THIS_WILL_DESTROY_YOUR_MACHINE",如果不是则退出。 拖入OD,把该字符串作为参数传入 由于我们...
[系统安全] Windows逆向必备知识、逆向分析小实战
H4ppyD0g的博客
01-08 2975
函数调用约定 Windows API匈牙利表示法 Windows注册表 组件对象模型COM 逆向分析小实 调用约定 关键字 参数入栈顺序 堆栈回收 C标准规范 __cdecl 从右到左 调用者负责 快速调用规范 __fastcall 前几个参数寄存器传参,之后从右到左 被调用者负责 标准调用规范 __stdcall 从右到左 被调用者负责 注意函数调用约定是编译器的事情,即在把C源码编译成汇编代码时考虑;而如果只关注源码的话,除了在函数前声明使用哪种约定外,没有任何差别。 ...
逆向工程核心原理》学习笔记(五):64位 & Windows 内核6
闵行小鱼塘
05-24 1351
继续学习《逆向工程核心原理》,本篇笔记是第五部分:64位 & Windows 内核6
红蓝对抗----Ring3到Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 964
这篇文章我们将研究CreateFile是如何从Ring3到Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一反三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4630
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1862
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
KERNEL32相关函数
热门推荐
靠别人不如靠自已。
05-30 1万+
<br />CALL DWord Ptr [<&KERNEL32.WriteFile>] kernel32.WriteFile 将数据写入一个文件,也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理 CALL DWord Ptr [<&KERNEL32.WriteConsole>] kernel32.WriteConsole 在当前光标位置写入字符串到控制台屏幕缓冲区. CALL DWor
暴力搜索内存空间获得 Api 的线性地址
bbdg的专栏
10-03 1244
 暴力搜索内存空间获得 Api 的线性地址暴力?怕怕……呵呵,其实这里的“暴力”只是一个形象的比喻。首先说明,本文也是老掉牙的东东了,如果你已经懂得在内存中搜索 Api 的技术,那就不要浪费时间在这篇文章上了。但如果你还是一名初学者,那么看看本文,应该还是有点帮助的。首先我们来看看为什么要在内存中搜索 Api 的线性地址。我们知道,一个 PE 文件在编译和连接成功后,会有一个 import tab
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值