系统调用与函数地址动态寻找(详解版)

最新推荐文章于 2024-05-16 16:49:22 发布
最新推荐文章于 2024-05-16 16:49:22 发布
阅读量404 收藏 2
点赞数 4
分类专栏: PE文件结构学习 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/132636613
版权

双机调试

F9,进入程序领空,搜索所有用户模块的跨模块调用,F2下断点

x64Dbg:F7单步步入,F8单步步过

进入内核的方式:

  1. int 2E(比较早期)
  2. sysenter(x86)
  3. syscall(x64)

进内核的时候,通常会带一个参数(最基本的是系统服务号)

SSDT表:系统描述符表

系统服务号作用:在内核中的SSDT表中进行对照寻找,实际上就是SSDT的索引

在SSDT中寻找对应的内核函数

x86App:

x86 OS:

  1. exe调用OpenProcess


  2. F7跟进去,kernel32.dll进行中转


  3. kernelbase.dll调用ZwOpenProcess(和NTOpenProcess基本没什么区别)


  4. F7,ntdll.dll里,KiFastSystemCall,F7,sysenter进入内核

x64 OS:

  1. exe调用OpenProcess
    在这里插入图片描述

  2. F7跟进去,kernel32.dll进行中转
    在这里插入图片描述

  3. kernelbase.dll调用NtOpenProcess
    在这里插入图片描述

  4. Ntdll.dll调用Wow64,为64位系统下的32位程序实现一个模拟的32位,转发,调用64位的东西
    在这里插入图片描述

x64App

  1. exe调用OpenProcess
    在这里插入图片描述

  2. F7跟进去,kernel32.dll进行中转
    在这里插入图片描述

  3. kernelbase.dll调用ZwOpenProcess(和NTOpenProcessProcess基本没什么区别)
    在这里插入图片描述

  4. ntdll.dll调用syscall/int 2E(这里会做判断)
    在这里插入图片描述

壳:在目标体内加区段,但是我们不能确定目标程序内有没有包含我们需要的头文件或者动态链接库,那么我们就需要自己加载动态链接库,但是我们要加载动态链接库的时候,LoadLibraryAPI 在哪里?我们就要想办法找到API地址

  • TEB(线程环境块)
  • PEB(进程环境块)

描述进程与线程的一些关键成员

  1. 寻找kernel32.dll的地址
  2. 在kernel32.dll的导出表里寻找GetProcAddress

双击调试断下来:

WinDbg输入命令:

  1. ! Process 0 0 (显示简略的系统进程相关信息)
    在这里插入图片描述

    这里的INSTDRV.EXE是我们启动的exe

  2. 复制我们拿到的地址,输入命令:.process /i 0x…(切换到指定进程上下文)

    在这里插入图片描述

    注意这里执行命令之后摁一下F5

  3. ! process(查看进程信息)
    加粗样式

  4. dt _TEB 0x…(拿到线程(TEB)结构)(dt:查看某一个结构)

    在+0x30位置有一个PEB(所属进程的进程环境块信息)
    在这里插入图片描述
    在+0x30的位置有我们需要的PEB信息

  5. dt _PEB 0x…(使用拿到的PEB地址,查看PEB结构)
    在这里插入图片描述

    在+0xC的位置有我们需要的_PEB_LDR_DATA信息

  6. dt _PEB_LDR_DATA ox…(查看_PEB_LDR_DATA结构)
    在这里插入图片描述

  7. dt _LIST_ENTRY查看模块列表
    在这里插入图片描述

    _LIST_ENTRY:有一个Flink(向下的指针),和一个Blink(向上的指针),双向链表

  8. 查看_LDR_DATA_TABLE_ENTRY结构(第一个节点)(向下的指针)
    在这里插入图片描述

这样就找到了进程本身

  1. 继续找下一个节点查看 dt _LDR_DATA_TABLE_ENTRY结构(第一个节点)(向下的指针)ntdll.dll

  2. 继续找,找到了kernel32.dll

  3. 这样我们就可以根据kernek32.dll,遍历导出表,就可以找到GetProcAddress函数地址

动态寻找函数地址

我们根据上述调试过程,我们来写代码实现:

x86:

// 函数地址动态查找.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

//获取Kernel32地址
DWORD GetKernel32Address();
//获取API地址
DWORD GrkGetProcessAddress();

//函数指针
EXTERN_C typedef HMODULE
(WINAPI* fnLoadLibraryW)(
	_In_ LPCWSTR lpLibFileName
);

EXTERN_C typedef FARPROC
(WINAPI* fnGetProcAddress)(
	_In_ HMODULE hModule,
	_In_ LPCSTR lpProcName
);

EXTERN_C typedef int
(WINAPI* fnMessageBoxW)(
	_In_opt_ HWND hWnd,
	_In_opt_ LPCWSTR lpText,
	_In_opt_ LPCWSTR lpCaption,
	_In_ UINT uType);

EXTERN_C typedef VOID
(WINAPI* fnExitProcess)(
	_In_ UINT uExitCode
);

int main()
{
	fnGetProcAddress pfnGetProcAddress = (fnGetProcAddress)GrkGetProcessAddress();
	HMODULE hKernel32 = (HMODULE)GetKernel32Address();
	fnLoadLibraryW pfnLoadLibraryW = (fnLoadLibraryW)pfnGetProcAddress(hKernel32, "LoadLibraryW");
	HMODULE hUser32 = pfnLoadLibraryW(L"user32.dll");
	fnMessageBoxW pfnMessageBoxW = (fnMessageBoxW)pfnGetProcAddress(hUser32, "MessageBoxW");
	fnExitProcess pfnExitProcess = (fnExitProcess)pfnGetProcAddress(hKernel32,"ExitProcss");
	pfnMessageBoxW(NULL, L"WdIg", L"Msg", NULL);
	system("pause");
	return 0;
}

DWORD GetKernel32Address() {
	DWORD dwKernel32 = 0;
	//NtCurrentTeb方法返回当前线程的线程环境块(TEB)指针
	_TEB *pTeb = NtCurrentTeb();
	//这里就是从线程环境块中找到进程,在线程环境块的+0x30位置
	PDWORD pPeb = (PDWORD)*(PDWORD)((DWORD)pTeb + 0x30);
	//从进程环境块中找到PEB_LDR_DATA信息,在进程环境块中的+0xC位置
	PDWORD pLdr = (PDWORD)*(PDWORD)((DWORD)pPeb + 0xC);
	//这里就是找到_LIST_ENTRY列表
	PDWORD InLoadOrderModuleList = (PDWORD)((DWORD)pLdr + 0xC);
	//这里是找到exe模块
	PDWORD pModuleExe = (PDWORD)*InLoadOrderModuleList;
	//找到Ntdll模块
	PDWORD pModuleNtdll = (PDWORD)*pModuleExe;
	//找到Kernel32模块
	PDWORD pModuleKernel32 = (PDWORD)*pModuleNtdll;
	dwKernel32 = pModuleKernel32[6];
	return dwKernel32;
}

DWORD GrkGetProcessAddress() {
	//这里是我们自己写的函数,得到Kernel32基址
	DWORD dwBase = GetKernel32Address();
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)dwBase;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_OPTIONAL_HEADER  pOptionalHeader = &pNtHeaders->OptionalHeader;
	//寻找Kernel32的导出表,以找到我们需要的函数
	PIMAGE_DATA_DIRECTORY pExportDir = &(pOptionalHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]);
	PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)(dwBase + pExportDir->VirtualAddress);
	//遍历导出表,找到我们需要的函数地址
	DWORD dwFuncCount = pExport->NumberOfFunctions;
	DWORD dwFuncNameCount = pExport->NumberOfNames;
	//导出地址表
	PDWORD pEAT = (PDWORD)(dwBase + pExport->AddressOfFunctions);
	//导出名称表
	PDWORD pENT = (PDWORD)(dwBase + pExport->AddressOfNames);
	//导出序号表
	PWORD pEIT = (PWORD)(dwBase + pExport->AddressOfNameOrdinals);
	for (int i = 0; i < pExport->NumberOfNames; i++)
	{
		if (!pENT[i]) {
			continue;
		}
		char* szFuncName = (char*)(dwBase + (DWORD)pENT[i]);
		DWORD dwOrdinal = 0;
		if (strcmp(szFuncName, "GetProcAddress") == 0) {
			dwOrdinal = pEIT[i];
			DWORD dwFuncAddrOffset = pEAT[dwOrdinal];
			return dwBase + pEAT[dwOrdinal];
		}
	}
	return 0;
}

这里需要格外注意:导出函数名称表是WORD类型的数组

x64:

x64的双机内核调试过程跟x86几乎没有差别

64位由于寻址长度与32位不同,我们将地址长度修改为ULONGLONG即可

Shad0w-2023
关注
专栏目录
linux mount命令与函数详解
tangzhangyin的专栏
02-22 2788
mount操作是用来挂载文件系统,需要在特权级(CAP_SYS_ADMIN)下执行;将source指定的文件系统(通常是指向设备的路径名,但也可以是目录或文件的路径名,或者是虚拟字符串)附加到target中路径名指定的位置(目录或文件)。umount操作是用来卸载文件系统,同样需要在特权级(CAP_SYS_ADMIN)下执行;
angularjs指令中的compile与link函数详解
10-25
`link`函数则是连接指令与应用数据模型的桥梁,它在DOM元素被插入到真实DOM并准备好与控制器交互时被调用。`link`函数有两个变体:`pre-link`和`post-link`。`pre-link`函数在指令的子元素被链接之前执行,而`post-...
LDR链调试手记(TEB获取动态函数地址
SauceJ的专栏
09-28 2442
转自看雪 LDR链调试手记    无论是编写ShellCode还是外壳程序,都需要动态的获取各个api的实际地址,最通用的方法之一,莫过于通过得到各个DLL模块的基址,再遍历其导出表。其中,获得各个模块基址中,通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结,于是就有了这一篇手记。
查找函数的加载地址及DynELF利用
qq_43390703的博客
03-23 846
查找函数的加载地址 指针 寻找函数地址的典型方法是通过计算我们泄漏的同一个库中另一个函数地址到所需函数的偏移量。但是,要使此方法有效工作,glibc的远程服务器本需要与我们的本相同。我们也可以通过泄漏一些函数并在libcdb.com中搜索来找到glibc的远程本,但是有时这个方法会失败。 DynELF 如果我们有一个函数允许我们在任何给定的地址泄漏内存,我们可以使用类似DynELF使用pw...
linux内核获取系统调用地址,多种方法获取sys_call_table(Linux系统调用表)的地址...
weixin_40001395的博客
04-29 607
一.方法一:常用方式我们首先需要找到call table-with-offset的特征,先看下面的代码syscall_call:call *sys_call_table(,%eax,4)假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找 :...
Linux系统中获取系统调用表(system call table)地址的几种方法
weixin_42915431的博客
06-02 7492
上回讲到如何编写简单的内核模块,那么内核模块可以用来做什么呢?一个例子就是可以hook系统调用,替换为自己的接口函数;还有就是设备驱动的开发。 本文将就hook系统底层调用技术展开讨论。下图是应用层的一个系统调用在linux系统中的调用流程: 在应用层调用getpid系统调用,为glibc中封装,此调用会引发int 80中断,调用切换到内核空间,然后根据system_call数组及其_NR_getpid下标找到系统调用sys_getpid接口的地址,之后将会返回系统调用结果到应用层。 ..
基于visual c++之windows核心编程代码分析(44)监测任意程序函数起始地址
weixin_30338481的博客
01-23 83
很多时候,我们分析一个程序的构架,必须了解其函数的相关信息,如何了解其函数信息呢,我们必须监测函数的起始地址,结束地址,代码长度等等信息。如何做到这一点呢,我们编程实现之。#include <windows.h> #include <iostream.h> DWORD code() { //////////////////////////////////////...
C++函数嵌套调用详解及弦截法求根示例
C++函数的嵌套调用和递归调用是C++编程中重要的概念,尽管C++语言本身不支持函数的嵌套定义,即在同一函数体内不能完全包含另一个函数,但函数可以嵌套调用。这意味着在调用一个函数时,可以在其内部调用其他函数,...
Python 递归函数详解及实例
12-24
如果一个函数体直接或者间接调用自己,那么这个函数就称为递归函数.也就是说,递归函数体的执行过程中可能会返回去再次调用函数.在python里,递归函数不需要任何特殊的语法,但是它需要付出一定的努力去...
GetProcAddress无法获取动态库中函数地址
weixin_44049823的博客
06-09 974
原因在于GetProcAddress(hDll,"add")这个函数的第二个参数,第二个参数表示要调用函数地址,add函数作为动态dll2中的一个函数,在经过编译器编译后,采用_cdecl调用约定对应的函数名修饰规则对add函数名进行了修饰,修饰过后add的函数名变为?add@@YAHHH@Z,所以只需把第二个参数改为?add@@YAHHH@Z即可运行成功。
5.7 Windows驱动开发:取进程模块函数地址
CSDN
11-25 1万+
在笔者上一篇文章`《内核取应用层模块基地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址,由于是入门系列所以并没有封装实现太过于通用的获取函数,本章将继续延申这个话题,并依次实现通用`GetUserModuleBaseAddress()`取远程进程中指定模块的基址和`GetModuleExportAddress()`取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。
GetProcAddress用法
nemo2011的专栏
09-05 2万+
函数功能描述:GetProcAddress函数检索指定的动态链接库(DLL)中的输出库函数地址函数原型: FARPROC GetProcAddress(   HMODULE hModule,    // DLL模块句柄   LPCSTR lpProcName   // 函数名 ); 参数: hModule    [in] 包含此函数DLL模块的句柄。LoadLibra
手动获取函数地址
tutucoo
11-27 2990
编写病毒程序时,由于各种原因不能直接调用函数,所以需要手动获取到函数然后调用它。最常见手动获取函数地址的方法是通过获取kernel32.dll句柄,然后遍历kernel32.dll的导出表找到它的GetProcAddress()函数,再通过向这个函数传递函数名就可以获取函数地址了,最后通过一个函数指针就可以调用获取的函数。 主要步骤 1.通过fs寄存器获取到TEB地址 2.通过teb+0x30...
获取GetProcAddress函数地址
做一个快乐学习者
10-28 5390
我们都知道,GetProcAddress函数就是从系统文件kernel32.dll中导出的,而kernel32.dll系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll的基址就可以找到GetProcAddress函数地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到...
动态获取API函数地址---对抗win7 aslr安全机制
gudujianjsk的专栏
03-11 1742
本人近期在研究缓冲区溢出,在学习中发现,win7下系统关键函数地址随机化了(每次重启后地址有变),为了解决地址定位问题,在偌大的互联网上找了好久,贴来分享下,以作备用。 -----------------------------------------------------------------------------------------------------------------
PC SP LR
weixin_42849384的博客
08-01 1853
深入理解ARM的这三个寄存器,对编程以及操作系统的移植都有很大的裨益。 PC 代表程序计数器,流水线使用三个阶段,因此指令分为三个阶段执行:1.取指(从存储器装载一条指令);2.译码(识别将要被执行的指令);3.执行(处理 指令并将结果写回寄存器)。而R15(PC)总是指向“正在取指”的指令,而不是指向“正在执行”的指令或正在“译码”的指令。一般来说,人们习惯性约定 将“正在执行的指令作为参考点...
Linux下so动态库查看与运行时搜索路径的设置
最新发布
2401_83946509的博客
05-16 524
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
深入理解SP、LR和PC
热门推荐
zhou1232006的专栏
01-18 4万+
<br /><br />深入理解ARM的这三个寄存器,对编程以及操作系统的移植都有很大的裨益。<br />1、堆栈指针r13(SP):每一种异常模式都有其自己独立的r13,它通常指向异常模式所专用的堆栈,也就是说五种异常模式、非异常模式(用户模式和系统模式),都有各自独立的堆栈,用不同的堆栈指针来索引。这样当ARM进入异常模式的时候,程序就可以把一般通用寄存器压入堆栈,返回时再出栈,保证了各种模式下程序的状态的完整性。<br />2、连接寄存器r14(LR):每种模式下r14都有自身组,它有两个特殊功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值