Kernel32.dll 文件的导出表的分析

最新推荐文章于 2024-07-30 11:53:08 发布
最新推荐文章于 2024-07-30 11:53:08 发布
阅读量1.4k 收藏 13
点赞数
分类专栏: 软件逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43675728/article/details/109107410
版权

PE文件格式 DLL 导入地址表 OllyDbg 动态链接
关键词由CSDN通过智能技术生成

Kernel32.dll 文件的导出表的分析

一.实验目的

使用PEviews与OllyDbg分析Kernel32.dll。

二.实验原理准备

(1)PE/ELF文件格式

	1、PE/ELF都是可执行文件格式。(被装载器和链接器使用的可执行文件的规
	范格式,可执行,文件时二进制分析的输入。)
	2、典型代表:
	     Unix/Linux下:Executable and Linkable Format(ELF)格式。
	     Windows下,Portable Executable(PE)格式。

(2)动态链接库(DLL)

	(1)DLL的定义:动态链接库在程序外,是程序能够随时调用的程序库文件。
	多个进程可以同时共享一个DLL文件。
	(2)装载方式:显式链接与隐式链接。

(3)导入地址表(IAT:Import Address Table)

	1、PE文件使用的代码由其他DLL提供时,就需要装载这个DLL。而导入地址表,
	就是记录程序正在使用的DLL库中的函数实际地址。
	2、位置:NT头 --> IMAGE_OPTIONAL_HEADER --> DataDirectory[1]
	  --> IMAGE_IMPORT_DESCRIPTOR --> FirstThunk --> IAT

(4)映射原则

	1、RVA(Relative Virtual Address):进程空间中相对基地址的偏移
	2、RAW:外存中数据相对于文件头的偏移量
	3、RAW - RAW(section) = RVA - RAV(section)
三.实验步骤

step1: 查看 IMPORT Table 的 RVA
在这里插入图片描述
可以看到,IMAGE_IMPORT_DESCRIPTOR 数组的起始 RVA为:9FC98。

step2:查看RVA(section.rdata)与RAW(section.rdata)
在这里插入图片描述
其RVA(section.rdata) = 80000,RAW(section.rdata) = 65000。
首个IMAGE_IMPORT_DESCRIPTOR 结构的 RAW 为:
RAW = 9FC98 - 80000 + 65000 = 84C98。

step3:观察 IMPORT_Directory_Table 的 84C98 位置。
在这里插入图片描述
step4:可以看到,DLL 名称字符串 " api-ms-win-core-rtlsupport-1-2-0.dll " 的 Name RVA 为A18E8。其所在的 RAW = A18E8 - 80000 + 65000 = 868E8。
在这里插入图片描述
在这里插入图片描述
step5:我们再来观察一下 " api-ms-win-core-rtlsupport-1-2-0.dll " 的Import Name Table RVA = A0FE0在这里插入图片描述
所以,INT 结构数组的起始 RAW = A0FE0 - 80000 + 65000 = 85FE0。

在这里插入图片描述
故第一个 IMAGE_IMPORT_BY_NAME 结构的 RAW = A18AC -80000 +65000 = 868AC。
在这里插入图片描述
易见,从" api-ms-win-core-rtlsupport-1-2-0.dll " 导入的第一个函数 RtlCaptureStackBackTrace 在 api-ms-win-core-rtlsupport-1-2-0.dll 得到处地址表中的序号为 0001。

step6:让我们看一下, api-ms-win-core-rtlsupport-1-2-0.dll 的 IAT RVA 的值= 816D4。
在这里插入图片描述
则 IAT 结构数组起始 RAW = 816D4 - 80000 + 65000 = 666D4。
在这里插入图片描述
IAT 数组的第一个元素为 A18AC,当装载到内存时,我们使用 Olldbg 看一下:
在这里插入图片描述
可以发现,其值发生了改变。说明当被装载器装载到内存时,原来的地址会发生改变。

小水狗
关注
专栏目录
查找kernel32.dll 基地址 特征函数
x
08-09 439
从用户层高地址往下找 高地址:7ffe0000h (用户层可读的最高地址,之后的地址拒绝访问) 一直扫描到最后一块64k起始页面为止, 因此结束地址9999h 每个pe模块都会加载在64k边界的地址上, 因此每次减64k(10000h) 代码中增加了自己修复的重定位信息, 和异常处理; ***** 不要运行在调试环境中 , 否则异常首先被送到debug中 流程: 1.每次在64k的边界上查看是否是一个pe 2.如果是,则找到导出,如果有导出,根据名字GetProcAddres..
打开ntdll.dllkernel32.dll这两个库函数的描述文件的工具或方法
云原生社区博客分享
09-13 4473
ntdll.dllkernel32.dll文件属于Windows的系统文件,在Windows系统中扮演着重要角色。 ntdll.dll(NT Layer DLL)是Windows NT操作系统的重要模块,属于系统级别的文件。用于堆栈释放、进程管理。 kernel32.dll
DLL导出查看器(DLLExportViewer)V1.66官方绿色中文版
08-03
DLL导出查看器(DLL Export Viewer)查看DLL 文件函数导出必备神器,这个小工具可以帮你查看 DLL链接库文件中的输出函数及相应的偏移地址,这在调试程序时很方便。适合开发人员使用的精品软件! 更新日志:DLL导出查看器(DLL Export Viewer)1.63版 添加/ CFG命令行选项,它指示DLL导出查看器中的另一个位置使用一个配置文件,而不是如果默认的配置文件,例
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 495
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称(下面统称为ENT),匹配到需要的函数...
kernel32.dll错误无法定位如何解决?有效修复丢失的kernel32.dll文件
最新发布
szcsd123456789的博客
07-30 1077
当电脑丢失kernel32.dll文件时,我们最先想到的就是将kernel32.dll文件进行修复,最简单的修复方法就是直接下载kernel32.dll文件,那么有什么办法可以得到kernel32.dll文件呢?这篇文章就给大家分享几种kernel32.dll下载地址,能够一键修复丢失的kernel32.dll文件
WinDbg查看notepad的导入kernel32导出
abtgu的博客
05-16 930
一、 使用WinDbg查看notepad的导入。 查看notepad的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看notepad导入。 二、 使用WinDbg查看kernel32导出。 查看kernel32的起始地址; 查看PE头的偏移。 查看可选头的偏移。 查看数据目录数组的偏移。 查看数据目录; 查看导出。 ...
解析 kernel32.dll导出目录并查找特定 API 函数的内存地址
weixin_50217210的博客
12-16 589
注意:有些函数在kernel32.dll导出目录中存储的并不是函数的真实地址,可能会通过导出的得到的地址去调用另一个模块中的内核中的函数,例如heapalloc函数。通过获取 API 函数的名称在导出中的位置,你可以计算出函数的内存地址。在导出中,函数序号是从 1 开始的,而在数组中的索引是从 0 开始的。因此,为了获取正确的函数地址,需要将函数序号减去 1,以匹配数组的索引。在导出的 RVA 处,你需要解析导出结构,找到需要的 API 函数的名称在导出中的位置。首先必须明白PE结构
导入导出地址分析(根据库文件名求出:导入函数数量、函数序号、函数名称)
Hardworking666的博客
04-20 1135
文章目录一、基础知识找出库文件名和RVAsec和RAWsec二、分析INT和IAT,得出导入函数数量三、第一函数序号、第一函数名称 一、基础知识 导入地址(Import Address Table,IAT)用来记录程序正在使用哪些DLL中的哪些函数。 导入名称(Import Name Table,INT) 找出库文件名和RVAsec和RAWsec 通过分析PE头,可得notepad.exe的各节区头范围如4-12所示。并分析4-13。 二、分析INT和IAT,得出导入函数数量 下面进一步分
逆向——PE导出分析及应用
young的博客
03-22 1700
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件导出结构分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1105
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
如何用PEview,LordPE等工具查看本机kernel32.dll文件格式,查询ExitProcess函数的地址(非RVA值,请给出真实地址!)
06-12
PEview 和 LordPE 都是针对可执行文件的 PE 文件格式进行分析的工具,而 kernel32.dll 是 Windows 系统自带的动态链接库,其格式也是 PE 文件格式,因此这些工具同样可以用来查看和分析 kernel32.dll 文件。...
【免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
m0_62783065的博客
01-08 628
【免杀】通用shellcode原理——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
输出详解
For Geek
05-01 1704
输出一般存在于DLL中,用于输出模板函数,我们可以在数据目录中的第二项查看到它的详细信息,输出是由一个IED(IMAGE_EXPORT_DIRECTORY)构成的 这里的用例是看雪的 加密与解密第四版的输出的那个示例DLL,如下图所示: 输出结构如下: 可以看到,输出结构比输入结构要复杂,但是有好几项是我们所不需要关心的,Name成员之前的我们先忽略,重点讲解下Name之后...
通过PEB得到Kernel32的基址,及遍历导出寻找GetProcAddress
weixin_34272308的博客
02-16 382
通过Windbg可以看到上面结果的成员及关系, 然后我OD调试看看 在windows7调试的 上图中是PEB的起始位置 这里是PEB_LDR_DATA 这里就可以看到第一个载入的dll是ntdll.dll 第二个是kernelbase.dll 这里就是我们所需要的Kernel32.dll的地址了 下面是通过遍历导出得到...
TEB/PEB定位PE文件导入导出
w_g3366的博客
09-07 1733
文章目录TEB/PEB定位PE文件导入导出TEB-线程环境块PEB-进程环境块定位导入导出 TEB/PEB定位PE文件导入导出 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
KERNEL32.dll的ExportTable以及如何查找导出的函数
anyingga7675的博客
12-01 309
我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的,所以这一篇呢,就分析一下DLL里的ExportTable,以KERNEL32.dll为例。 首先在Hex Edit里打开KERNEL32.dll: 可以看出,KERNEL32.dll还是符合PE文件格式滴~ ① ExportTable(RVA):00 0B 4D...
DLL导出解析
Marcelxx的专栏
10-11 1136
这里有两种方法声明导出函数:一种是通过使用__declspec(dllexport),添加到需要导出的函数前,进行声明;另外一种就是通过模块定义文件(Module-Definition File即.DEF)来进行声明。            .dll中的_declspec(dllexport)语句是用来导出函数的,作用和.def文件中的EXPORTS的作用是一致的,都是用来从.dll文件中向外导
获得KERNEL32.DLL模块地址以及函数的地址
SUNE__学无止境
05-29 2854
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值