对GetModuleHandle和LoadLibrary的一些理解以及壳中的重定位的一些理解

最新推荐文章于 2020-12-26 12:13:39 发布
最新推荐文章于 2020-12-26 12:13:39 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/79557063
版权

昨天室友突然问到我一个问
题,在写壳的时候,你是怎么获取壳.dll的加载基址的,努力地从记忆中搜寻着一些记忆,得出GetModuleHandle的答案,那么问题来了,

GetmoduleHandle和Loadlibrary的区别是什么?

查阅相关资料,可以知道,Loadlibrary是用来将普通的dll这个文件载入到系统进程中,使得其成为一个系统模块,而GetModuleHandle是需要在进程已经加载至内存获取其中dll的句柄,另外,从MSDN中,查找到如下文献:
https://msdn.microsoft.com/en-us/library/windows/desktop/ms683199(v=vs.85).aspx

GetModuleHandle function:

Retrieves a module handle for the specified module. The module must have been loaded by the calling process.
而对于Loadlibrary在MSDN则是这样解释的:

Loadlibrary

https://msdn.microsoft.com/en-us/library/windows/desktop/ms684175(v=vs.85).aspx
Loads the specified module into the address space of the calling process. The specified module may cause other modules to be loaded.

另外一个区别:

两个函数的区别还在于引用次数,Loadlibrary把模块映射进调用进程的地址空间后,如果必要,则增加模块的引用次数;而GetModuleHandle是在不增加引用次数的情况下返回已经映射模块的句柄.

加壳时的重定位问题

这里写图片描述
如何计算出重定位后的位置见上图:

分析过程:

  • 6C9A1050=6c9A0000+1000+50;

  • 重定位后的正确位置=原始位置(一般是个VA)-所在区段的VA+目标程序的ImageBase+壳代码RVA

  • 0041C050=6C9A1050-6C9A0000+400000-1000+1C000;
    这里为什么要减去1000,要解释一下:可以这么理解;
    6C9A1050-6c9A0000得到的是PE头(1000+50)
    而1C000这个RVA已经将PE头大小算在内的一个RVA了,这里相当于有两个PE头大小了,显然不对,所以这里要减去1000
richard1230
关注
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
windows客户端开发--windows api大全
一蓑烟雨任平生 也无风雨也无晴
03-20 5887
网络函数 WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同一个网络资源的连接 WNetCancelConnection 结束一个网络连接 WNetCancelConnection2 结束一个网络连接 WNetCloseEnum 结束一次枚举操作 WNetConn
LoadLibrary和GetModuleHandle的区别
热门推荐
得救之道就在其中
01-09 1万+
LoadLibrary是把一个模块映射进调用进程的地址空间,需要时增加引用计数,每调用一次,引用计数增加一,需要通过相同步骤地调用FreeLibrary来减少引用次数,当为0时,系统卸载DLL。 HMODULE WINAPI LoadLibrary( __in LPCTSTR lpFileName ); lpFileName 如果提供了路径(须使用backslashes(\),不要使用
MemLoadLibrary后可以用GetModuleHandle得到HMODULE
05-22
MemLoadLibrary后可以用GetModuleHandle得到HMODULE
LoadLibrary 和 GetModuleHandle
Yatere的天平秤
01-15 1484
LoadLibrary是加载dll并增加引用计数,需要freelibrary释放。 而GetModuleHandle是返回一个已经映射进调用进程地址空间的模块的句柄,不需要释放
LoadLibrary和GetModuleHandle的一些东西
11-07 2986
从网上浏览到这个网页http://topic.okbase.net/201006/2010060410/3849330.html,从这里面发现几个知识点,特此整理: 主      题: 对于系统dll,LoadLibrary和GetModuleHandle效果是一样的??  作      者: Nospam  回复次数: 1  发表时间: 2010-6-4 10:29:21
GetModuleHandle
sanshao27的专栏
04-17 1880
当一个文件被映射到调用进程的地址空间是,GetModuleHandle函数得到其某一模块的句柄。  ??为在注释段避免争用,使用GetModuleHandle函数。??  HMODULE GetModuleHandle( LPCTSTR lpModuleName);    参数  lpModuleName    [in]用指针指向一个包含模块名以NULL字符结尾的串,模块是.dll或.exe文件
LoadLibrary 与 GetModuleHandle
java-he
04-16 216
LoadLibrary是把一个模块映射进调用进程的地址空间,需要时增加引用计数   GetModuleHandle是返回一个以映射进调用进程地址空间的模块的句柄 并不增加引用计数(用完记得FreeLibrary) ------------------先用GetModuleHandle调用进程,如果失败,再用LoadLibrary,这样的好处是什么阿?? 可以判断你引用的DLL是...
经典的重定位代码
jeason29的专栏
05-15 2480
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。用函数时,参数要用到全局变量的时候,要先lea出地址来;    取偏移量方法 ----------------------------------------------------     call @vstart   @vstar
汇编语言代码重定位
weixin_30364147的博客
12-21 805
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。用函数时,参数要用到全局变量的时候,要先lea出地址来; 经典的重定位代码: //--------取偏移量方法 ----------------------------------------------------     call ...
屏幕取词的原理和实现.txt
05-16
### 屏幕取词的原理与实现 #### 技术背景 “鼠标屏幕取词”是一种在电子字典广泛应用的技术,例如...通过对这些底层技术的理解和掌握,可以更好地实现屏幕取词功能,同时也能够深入了解Windows操作系统的内部结构。
关于GetModuleHandle函数
03-05 457
该函数被声明为:HMODULE GetModuleHandle(PCTSTR pszModule);如果调用参数pszModule为NULL,则该函数返回当前调用进程的句柄。如果指定了一个以0结尾的字符串,那么函数返回该字串指定的可执行文件或者DLL的句柄。 
GetModuleHandle函数
学而不思则罔
11-08 4211
<br />当一个文件被映射到调用进程的地址空间时,GetModuleHandle函数得到其某一模块的句柄。  <br /> 使用GetModuleHandle函数格式:<br /> HMODULE GetModuleHandle( LPCTSTR lpModuleName);  <br /><br /> 参数  lpModuleName:<br /><br /> [in]用指针指向一个包含模块名以NULL字符结尾的串,模块是.dll或.exe文件。如果文件扩展名省略,则增加默认的扩展名.dll。
WinAPI-函数GetModuleHandle
文天大人
12-26 392
怀念二抱三抱
C# 远过程外部调用 LoadLibrary、GetModuleHandle、GetProcAddress、FreeLibrary
11-17 6976
本类可以很方便的实现“远过程外部调用”获取、卸载、导入外部对象的动态链接库 且包括特俗的获取模块函数,调用“LoadLibrary / 导入动态链接库”到外部对象,可 能会被安全软件认定为注入行为,需要注明的是本类代码在x86下编写,且在代码 大量使用了x86 asm / auto,所以尽量以x86平台编译且需要操作的是x86 / 32bit 的外部对象 当然本类只作参考与学习 在本类
理解句柄与指针的区别:Windows编程的关键概念
"此文档主要探讨了句柄和指针在编程的区别,特别是它们在Windows操作系统的应用。文档内容详细,适合初学者理解。" 在计算机编程,句柄和指针是两种常见的用于访问和操作内存对象的方式,但它们有着本质的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值