Win32汇编实现API自搜索技术(软件安全实验二)

最新推荐文章于 2023-04-23 21:26:00 发布
最新推荐文章于 2023-04-23 21:26:00 发布
阅读量527 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44806305/article/details/112130560
版权

Win32汇编实现API自搜索技术

原理介绍

API自搜索技术原理

第一页
在这里插入图片描述
在这里插入图片描述

masm32

链接: masm32下载链接
说明:解压至本地配置环境变量即好,另附本次实验源码一份,masm32主目录下
在这里插入图片描述
环境变量配置如下图所示:
在这里插入图片描述

编译指令:ml -c -coff 文件名(.asm文件);
链接指令:link /subsystem:console 文件名(.obj文件);

展示部分

汇编源码展示

		.686
		.model flat,stdcall
		option casemap:none
		includelib lib\kernel32.lib		;包含API函数的导入库文件
ExitProcess	proto,:dword			;Windows函数声明
exit		macro dwexitcode
		invoke ExitProcess,dwexitcode
		endm
GetStdHandle	proto,:dword
WriteConsoleA	proto,:dword,:dword,:dword,:dword,:dword
WriteConsole	equ<WriteConsoleA>
ReadConsoleA	proto,:dword,:dword,:dword,:dword,:dword
ReadConsole	equ<ReadConsoleA>
STD_OUTPUT_HANDLE=-11				;Windows常量定义
STD_INPUT_HANDLE=-10				;Windows常量定义
GetConsoleMode	proto,:dword,:dword
SetConsoleMode	proto,:dword,:dword

		.data
arg		dword 0
msg1		byte 'kernel32.dll virtual address=0x',0
msg		byte 10,0		;字符串,10为换行
fname1		byte 'GetProcAddress',0
fname2		byte 'LoadLibraryA',0
attention		byte '######################Successfully find functions!########################',10,0
outsize		dword ?
inhandle		dword ?
savemode		dword ?
insize		dword ?
inbuffer		byte 255 dup(0)
		.code
start:		
		;Get kernel32.dll base addr
		assume fs:nothing
		mov eax,fs:[30h]			;PEB
		mov eax,[eax+0ch]			;PROCESS_MODULE_INFO
		mov esi,[eax+1ch]			;InInitOrder.flink
		lodsd				;eax=InInitOrder.blink
		mov ebp,[eax+8]			;ebp=kernel32.dll base address
		mov eax,offset msg1
		call dispmsg
		mov eax,ebp
		call dispx

		push esi
		mov esi,[ebp+03Ch]			;[esi]->PE头地址

		mov esi,[esi+ebp+078h]		
		add esi,ebp			;[esi]->导出表
		push esi				;压栈保存

		mov esi,[esi+020h]			
		add esi,ebp			;[esi]->存储导出函数函数名列表的首地址
		pop edi
		mov edi,[edi+01Ch]
		add edi,ebp			;[edi]->存储导出函数地址列表的首地址

		push eax
		mov eax,offset attention
		call dispmsg
		mov ecx,1000
forloop:
		lodsd				;mov eax,[esi], esi=esi+4
		add eax,ebp			;[eax]->导出函数函数名列表一个导出函数的名称
		mov ebx,[edi]
		add edi,4
		add ebx,ebp			;[ebx]->导出函数地址列表一个导出函数的地址


		;依次对比函数名称,找fname1和fname2
		push ebx				;ebx压栈保存
		mov  ebx,eax			;传入第一个字符串首地址
		mov edx,offset fname1		;传入第二个字符串首地址
		call cmpname			;两字符串相等,则edx=1
		test edx,1	
		jnz print				;打印输出函数名和函数地址
		pop ebx
			

		push ebx				;ebx压栈保存
		mov  ebx,eax			;传入第一个字符串首地址
		mov edx,offset fname2		;传入第二个字符串首地址
		call cmpname			;两字符串相等,则edx=1
		test edx,1	
		jnz print				;打印输出函数名和函数地址
		pop ebx
		loop forloop

		;获取句柄
		invoke GetStdHandle,STD_OUTPUT_HANDLE
		;显示信息,提示按任意键退出
		invoke WriteConsole,eax,addr msg,sizeof msg,addr outsize,0
		invoke GetStdHandle,STD_INPUT_HANDLE
		mov inhandle,eax
		invoke GetConsoleMode,inhandle,addr savemode	;获得控制台模式
		invoke SetConsoleMode,inhandle,0		;设置为单字符输入模式
		invoke ReadConsole,inhandle,addr inbuffer,1,addr insize,0	;输入字符
		invoke SetConsoleMode,inhandle,savemode	;恢复原控制台模式
		;退出
		exit 0
		invoke ExitProcess,0
		

		.data					;子程序DISPMSG使用的变量
_outsize		dword ?
_outhandle	dword ?
		.code
dispmsg		proc					;字符串显示子程序,入口参数:EAX=
		push eax
		push ebx
		push ecx
		push edx
		push eax
		invoke GetStdHandle,STD_OUTPUT_HANDLE
		mov _outhandle,eax				;句柄实例保存,以便后续调用
		pop ebx					;弹出字符串地址送入EBX
		xor ecx,ecx
		;计算字符串长度
dispm1:		mov al,[ebx+ecx]
		test al,al					;[al] and [al],不改变寄存器内容,同时修改ZF标志位
		jz dispm2
		inc ecx
		jmp dispm1
dispm2:		invoke WriteConsole,_outhandle,ebx,ecx,addr _outsize,0
		pop edx
		pop ecx
		pop ebx
		pop eax
		ret
dispmsg		endp


		.data					;子程序DISPX使用的变量
regd		byte 8 dup(0),10,0			;显示EAX中的16进制数,预留8个字节空间		
		.code
dispx		proc					;16进制数显示子程序,入口参数:EAX=
		push ebx
		push ecx
		push edx
		mov ecx,8
		xor ebx,ebx				;使用ebx相对寻址访问regd,故初始化ebx=0
again:		rol eax,4					;高4位循环移位进入低4位,作为子程序htoasc的入口参数
		push eax					;子程序htoasc使用al返回结果,所以需要压栈保存eax		
		call htoasc				;调用子程序htoasc
		mov regd+[ebx],al				;保存转换后的ASCII码
		pop eax					;恢复保存的数据
		inc ebx
		loop again
		mov eax,offset regd
		call dispmsg				;显示
		pop edx
		pop ecx
		pop ebx
		ret
dispx		endp

		.data					;子程序htoasc使用的数据
ASCII		byte '0123456789ABCDEF'
		.code
htoasc		proc					;将al的低4位表达的一位16进制数转换为ASCII码 
		and eax,0fh				;取al低四位		
		mov al,ASCII+[eax]				;换码
		ret
htoasc		endp


		.code
cmpname		proc					;比对字符串是否一致,ebx、edx接受两字符串首地址,返回edx
		push eax
		push ecx
		xor ecx,ecx
Loopx:		mov al,[ebx+ecx]
		mov ah,[edx+ecx]
		cmp al,ah					;比较相应两字符
		jnz different					;不等则跳转结束
		inc ecx					;偏移地址+1
		cmp al,0					;比对结束
		jz done
		jmp Loopx

done:		cmp ah,0					;判断另一字符串是否结束
		jz same					;两字符串相同
		jnz different				;两字符串不同
same:		pop ecx
		pop eax
		mov edx,1
		ret
different:		pop ecx
		pop eax
		mov edx,0
		ret
cmpname		endp

		.data
fun_name		byte 'Function name:',0
fun_addr		byte 'Function address',0
space		byte '		',0
new_line		byte 10,0
		.code
print		proc					;参数变量为eax、ebx
		push ebx
		push eax
		push eax
		mov eax,offset fun_name
		call dispmsg
		pop eax
		mov eax,eax
		call dispmsg
		mov eax,offset space
		call dispmsg
		mov eax,offset fun_addr
		call dispmsg
		mov eax,ebx
		call dispx

		pop eax
		pop ebx
		jmp forloop
		ret
print		endp

		end start

运行结果展示

![在这里插入图片描述](https://img-blog.csdnimg.cn/20210103001014465.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODA2MzA1,size_16,color_FFFFF在这里插入图片描述
在这里插入图片描述

那由塔
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
病毒分析技巧之API地址获取
蚁景网安学院
02-24 1040
点击蓝字关注我们0x00目的 通过该实验,使学生掌握使用PEB结构确定kernel32.dll基地址的方法与原理,通过对PE导出表结构分析来理解获取API函数地址的方法,最终通过编码完...
汇编api函数地址的获取
weixin_34109408的博客
12-30 1171
api函数地址的获取 by Hume/冷雨飘心 这是一个老题目了,如果我们不用任何引入库,能否在程序中调用api函数?当然可以!方法有很多,你可能早就知道了,如果你已经了解了,就此打住,这是为还不了解这一技术而写.另外这也是病毒必用的技巧之一,如果你对病毒技术感兴趣,接着看下去. 这里假设...
动态获取API入口地址,使exe文件的导入表为空
liumengcheng的专栏
01-29 1766
本文出自罗云彬的win32汇编那本书,我稍微做了一下修改 Windows在执行一个exe文件的时候会调用Kernel32.dll中的CreateProcess来启动应用程序的主程序,在执行应用程序之前windows会push返回地址。这个返回地址通过程序入口的[esp]就能得到。为什么要说这个返回地址呢,因为这个返回地址在Kernel32.dll模块中,而GetProcAddress和LoadL
hash扫描获得api函数地址学习笔记
angbagangzhe065140的博客
02-03 116
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 搜索获得api函数地址的实现 我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢?它实际上是采用输出表结构来描述本dll需要导出哪些函数来供其他的程序调用,这样其他的用户程序才能正常的调用此动态链接库的输出函...
动态获取API的地址
weixin_43575859的博客
03-18 1095
原理: 现在虽然大部分Win32程序都使用ExitProcess函数来终止执行,但是其实用ret指令也是可以的。我们的应用程序的主程序可以被看成是一个被Windows调用的子程序。当父进程要创建一个子进程时,它会调用Kernel32.dll中的CreateProcess函数,CreateProcess函数在完成装载应用程序后,就会把一个返回地址用push压入栈,这个返回地址是子进程用ret来结束...
demo_汇编_win32编程_DEMO_
09-30
描述中提到的“一个汇编语言WIN32实验课的成果”意味着这个项目可能是教育环境下的练习,目的是让学生了解如何使用汇编语言与Windows API(应用程序接口)进行交互,创建用户界面,如显示弹窗信息。此外,描述还指出...
罗云彬win32汇编教程(第版)随书光盘.rar
05-25
《罗云彬Win32汇编教程(第版)》是一部深入探讨Win32环境下汇编语言编程的经典著作。此随书光盘rar文件包含了教材的补充资源,为读者提供了丰富的学习材料,帮助他们更好地理解和实践书中所讲解的汇编语言知识。 ...
华中科技大学汇编实验win32窗口程序框架
10-28
【华中科技大学汇编实验win32窗口程序框架】是一个针对初学者和进阶者设计的教学资源,旨在帮助学习者理解和掌握使用汇编语言编写Windows操作系统下的图形用户界面(GUI)程序。在这个实验中,你将接触到Win32 API,...
软件安全 课程设计 实验指导书2021(整合)v1.91
08-08
软件安全课程设计 实验指导书2021(整合)v1.91】的实验内容主要涉及软件行为分析,特别是基于APIHOOK的技术APIHOOK是一种常用的动态分析技术,它允许开发者在运行时监控和修改其他软件的特定功能。在本实验中,...
琢玉成器win32汇编程序设计光盘资料、罗云彬
03-22
这本书以其独特的视角,深入浅出地介绍了Win32汇编语言的基础知识和高级技巧,是学习Windows API编程的重要参考资料。光盘资料包含了书中提到的各种实例、补充文档和实验内容,对于理解和实践书中的知识点具有极大的...
易语言汇编API地址
07-22
易语言汇编API地址源码,汇编API地址,GetKrnlBase,GetDwordInt,Call,GetStrAddress,GetProcAddress,LoadLibrary,FreeLibrary
恶意代码的亲密接触之文件搜索API导址
www.pingfi.com
06-14 1048
 http://dev.yesky.com/126/2540626.shtml在前一篇文章中介绍了病毒的相关基础知识后,从本文开始我们就要深入病毒内部,开始看一些具体的病毒编码片断,在本文中我们会看到API函数搜索以及文件搜索技术,为后面更加深入的探讨打下良好的基础,如果你已经准备好了,就让作者带你进入这无所不用其极的病毒技术世界吧。  获取Kernel32.DLL 基址   获取Kernel3
软件漏洞的利用和发现(笔记)
weixin_45561874的博客
10-30 2584
1.漏洞利用与Exploit 漏洞从发现到产生实际危害的整个过程可分为漏洞挖掘、漏洞分析、漏洞利用三个阶段。 无论通过哪种形式进行攻击,其都有一个共同特点,即通过触发漏洞来隐蔽地执行恶意代码。而用来触发漏洞并完成恶意 操作的这个程序则通常被称为Exploit。 Exploit结构 一个经典的比喻就是把漏洞利用比作导弹发射过程: Exploit、Payload和Shellcode可分别对应于导弹发射装置、导弹和弹头: Exploit 类似导弹发射装置,针对目标发射出导弹(Payload),导弹到达目标之后,释
WIN32汇编语言程序设计——API和动态链接
最新发布
evagenius的博客
04-23 982
最后有一个最重要的概念一定要牢记:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是“一体”的,动态链接库可以使用应用程序的资源,它所拥有的资源也可以被应用程序使用,它的任何操作都是代表应用程序进行的,当动态链接库进行打开文件、分配内存和创建窗口等操作后,这些文件、内存和窗口都是为应用程序所拥有的。1. 在程序中声明函数。当PE文件被执行的时候,Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。
Win32汇编笔记——窗口创建API函数
吴立赛的博客
10-11 731
1.模块的概念 一个模块代表的是一个运行中的exe文件或dll文件,用来代表这个文件中所有的代码和资源,用来代表这个文件中所有的代码和资源,磁盘上的文件不是模块,装入内存后运行时就叫做模块。一个应用程序调用其他DLL中的API时,这些DLL文件被装入内存,就产生了不同的模块,为了区分地址空间中的不同模块,每个模块都有惟一的模块句柄来标识。 2.句柄 句柄只是一个数值,它的值对程序来说是没有意义的,...
3.4 动态定位API函数地址(原理)
qq_55202378的博客
07-30 1147
动态定位 API函数1
漏洞利用篇(下)
m0_57929980的博客
06-16 1258
漏洞利用篇:介绍Windows安全防护机制、漏洞利用的进阶技术(包括API函数自搜索、返回导向编程)等。
【逆向工程】(一)x86 汇编
Chenyang的博客
04-24 1389
本指南介绍了 32 位 x86 汇编语言编程的基础知识,涵盖了可用指令和汇编指令的一小部分但很有用的子集。有几种不同的汇编语言用于生成 x86 机器代码。我们将在 CS216 中使用的是 Microsoft 宏汇编器 (MASM) 汇编器。 MASM 使用标准 Intel 语法编写 x86 汇编代码。
X86汇编快速入门
a8471760的博客
10-27 2076
本文翻译自:http://www.cs.virginia.edu/~evans/cs216/guides/x86.html 本文描述基本的32位X86汇编语言的一个子集,其中涉及汇编语言的最核心部分,包括寄存器结构,数据表示,基本的操作指令(包括数据传送指令、逻辑计算指令、算数运算指令),以及函数的调用规则。个人认为:在理解了本文后,基本可以无障碍地阅读绝大部分标准X86汇编程序。当然...
Win32汇编语言程序设计
09-08
其中,Win32 API的调用是实现Win32汇编程序的关键,通过调用函数如MessageBox可以实现在窗口中显示消息框等功能。在编写Win32汇编程序时,需要遵循相应的调用规则,比如C(cdecl)调用规则和PASCAL调用规则等。 具体...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

那由塔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值