通过TopStack方法获取kernel基址简介

最新推荐文章于 2023-06-25 09:55:28 发布
最新推荐文章于 2023-06-25 09:55:28 发布
阅读量954 收藏
点赞数
分类专栏: Windows学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taozpwater/article/details/8903153
版权

1、简介

      本地线程的堆栈里偏移1CH(或者18H)的指针指向kernel32.dll内部,而fs:[0x18]指向当前线程而且往里四个字节指向线程栈,
      结合堆栈的top pointer进行对齐遍历,找到PE文件头(DLL的文件格式)的“MZ”MSDOS标志,就拿到了kernel32.dll基址。
先从Windbg里查看一下:
0:000> dt -v -r _NT_TIB $teb
struct _NT_TIB, 8 elements, 0x1c bytes
         +0x000 ExceptionList          : 0x0013fd0c struct _EXCEPTION_REGISTRATION_RECORD, 2 elements, 0x8 bytes
            +0x000 Next                   : 0xffffffff struct _EXCEPTION_REGISTRATION_RECORD, 2 elements, 0x8 bytes
               +0x000 Next                   : ???? 
               +0x004 Handler                : ???? 
            +0x004 Handler                : 0x7c92ee18              _EXCEPTION_DISPOSITION        ntdll!_except_handler3+0
         +0x004 StackBase              : 0x00140000 
     

最低0.47元/天 解锁文章
taozpwater
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言模块基址获取
07-21
在易语言中,"模块基址获取"是一个重要的概念,尤其在涉及到动态链接库(DLL)或者程序模块的操作时,了解和掌握模块基址获取方法是至关重要的。 模块基址,简单来说,就是程序或DLL在内存中的起始地址。在...
拥抱低代码开发-TopStack 云组态产品
DLIOTOPO的博客
10-24 2526
图扑物联研发的TopStack 物联网平台产品,内置了网页版云组态功能,可以将物联网 IoT 平台采集的数据通过组态画面的方式进行呈现,既灵活又美观。用户随时随地了解设备和产线的实时运行状态,本地或远程监视生产流程图等生产信息。
数据结构之堆栈
小叮当不懒的博客
04-09 944
堆栈定义以及基本运算 基本运算的具体实现 堆栈应用 表达式求值 注意:左括号在栈外优先级最高,栈内优先级最低。 中缀表达式求值 例子 给一个中缀表达式,输出计算得到的值。 7*2*2-5+1-5+3-4 求解结果为18 解决步骤 设定两个栈s1和s2,s1用于存储运算对象,s2用于存储运算符。 从左到右扫描整个表达式,如果是运算对象,压入s1。 如果是运算符,则要分情况讨论: s2为空栈,直接压入栈中; 当前运算符的优先级高于栈顶的优先级,压入栈 当前运算符的优先级低于栈顶的优先级,s1出栈两个
图扑物联与华为云公有云平台完成兼容互认证
DLIOTOPO的博客
07-18 1825
图扑物联TopStack云组态平台v3.2与华为云公有云平台完成兼容性测试认证,取得由华为云授予的HUAWEI COMPATIBLE 证书及认证徽标的使用权。
图扑物联 | WEB组态可视化软件
DLIOTOPO的博客
06-25 404
组态软件能够很好地解决各类场景中存在的种种问题,使用户能根据自己的管理对象和管理目的的任意组态,完成最终的场景控制自动化、数据可视化。
c语言_数制转换_任意进制间互相转换
weixin_38293453的博客
02-16 1443
一、任意进制间互相转换(链表结构实现) #include "stdio.h" #include"stdlib.h" #include <math.h> typedef struct node { char elem; struct node *next; }stackLink; stackLink *stackPush(stackLink *top, char elem) ...
易语言源码易语言模块基址获取源码.rar
03-31
2. **获取模块信息**:通过“进程模块列表”命令,可以获取到进程中所有已加载模块的信息,包括模块名称和基址。返回的结果是一个表结构,从中可以找到目标模块的基址。 3. **筛选目标模块**:根据模块名称,遍历...
游戏进程基址获取源码-易语言
06-12
最近在写一款游戏的喊话器,一天一变call的地址 , 于是就写了这个基址获取的,基址+偏移=真正的基址 蜀山飘渺 [[[ssol.exe+DCFA14]+34]+90]F 键的时候ecx [[[[[ssol.exe+DCFA14]+34]+08]+000003B4]+00000430] 喊话...
CSGO基址获取工具中文_CSGO基地址一键获取工具_
10-03
"CSGO基址获取工具中文" 是一个专为CSGO设计的实用工具,旨在帮助用户快速、便捷地获得游戏的基地址。通常,游戏的基地址不是固定的,它会随着每次启动、系统更新或者反作弊系统的升级而发生变化,因此需要实时获取...
结合top和jstack找出占用cpu最高的堆栈信息
阳光的专栏
08-07 1万+
转载自:http://blog.csdn.net/u013593306/article/details/52468651 1,使用命令top -p ,显示你的Java进程的内存情况,pid是你的java进程号,比如4977 2,按H,获取每个线程的内存情况  3,找到内存和cpu占用最高的线程pid,比如4977  4,执行 System.out.
全面认识openstack:OpenStack架构详解
热门推荐
superviser3000的博客
05-17 6万+
OpenStack既是一个社区,也是一个项目和一个开源软件,提供开放源码软件,建立公共和私有云,它提供了一个部署云的操作平台或工具集,其宗旨在于:帮助组织运行为虚拟计算或存储服务的云,为公有云、私有云,也为大云、小云提供可扩展的、灵活的云计算。OpenStackd开源项目由社区维护,包括OpenStack计算(代号为Nova),OpenStack对象存储(代号为Swift),并OpenStack镜...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5009
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
Linux内核栈信息获取与理解
Hello World!
10-20 1298
http://www.ilinuxkernel.com/files/2/Linux_kernel_stack.html Linux内核栈信息获取与理解 1内核栈获取 C语言的函数调用,是通过栈来实现的。如下图所示: 函数调用栈 内核异常或死机时,经常在内核日志中看到打印的栈信息和寄存器值。从函
逆向分析kernel32.dll!_except_handler3函数
03-15 3367
引言:_except_handler3是BaseProcessStart的异常处理函数。7C839AF0 ; int __cdecl _except_handler3(EXCEPTION_RECORD *argExceptionRecord,7C839AF0 _EXCEPTION_REGISTRATION *argEstablisherFrame, _CONTEXT *argContex
Linux下获取调用堆栈地址
凌风的博客
06-14 1483
#include #include #include void get_stack_info(char *buf, int len) { #define MAX_BACK_TRACE_DEPTH 100 #define MAX_STACK_SIZE 64 if (buf == NULL || len <= 0) { return; }
手工获取kernel基地址
ANSWER 的专栏
12-14 782
首先回顾一下几个结构:typedef struct _RTL_USER_PROCESS_PARAMETERS{ ULONG MaximumLength; // 00h ULONG Length; // 04h ULONG Flags; // 08h ULONG DebugFlags; // 0Ch PVOID ConsoleHandle; // 10h ULONG ConsoleFlags;
汇编fs 寄存器
tangyanzhi1111的专栏
05-15 1万+
tangyanzhi11110我的:收件箱资源博客空间设置|帮助|退出 首页业界移动云计算研发论坛博客下载 更多 彼月的专栏 目录视图摘要视图订阅 有奖征集活动系列——【HTML5游戏编程之旅】        专访雷果国:我从1.5K到18K的成长之路      【限时优惠】第五届云计算大会社区门票抢购  探究云计
vb.net中怎么通过进程句柄获取模块基址
最新发布
08-15
在VB.NET中,可以通过使用Process类的帮助方法和属性来获取进程句柄,并进而获取模块基址。 首先,我们需要引入System.Diagnostics命名空间,以便能够使用Process类。然后,可以使用Process.GetProcessesByName方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值