获取kernel32基址的另两种方法

最新推荐文章于 2021-08-09 11:27:29 发布
最新推荐文章于 2021-08-09 11:27:29 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 病毒技术 文章标签: exception api struct dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trucce/article/details/4445635
版权
本文介绍了除了通过PEB结构获取kernel32.dll基址之外的两种方法:一是利用进程初始化时堆栈指针ESP指向ExitThread地址进行搜索;二是遍历SEH链找到异常处理过程地址。这两种方法能帮助病毒在不依赖导入表的情况下找到关键API。
摘要由CSDN通过智能技术生成

病毒运行时可能会用到某些API,但如果导入表中没有的话,病毒的可移植性就不能保证。

已经知道ntdll.dllkernel32.dll是每个进程都需要加载的,如果知道了kernel32在进程中的地址,就能找到LoadLibraryGetProcAddress从而加载其他dll文件并调用里面的API

以前学到过利用PEB结构来获得kernel32在进程中的基址

其实还有两种常用的方法

 

1.进程初始化时堆栈指针ESP指向ExitThread的地址,位置刚好在kernel32中。通过此地址向上搜索就可找到kernel32的基地址。

因为kernel32SectionAlignment

最低0.47元/天 解锁文章
truCCe
关注
专栏目录
第05节 原则:Kernel32基址获取
imbyter师哥的博客
05-01 954
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导出函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5043
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
内联汇编获取Kernaer32基址.
weixin_30719711的博客
04-22 145
DWORD GetKerner32ImageBase() { DWORD nIMageBase = 0; __asm { xor edx,edx mov ecx, fs:[0x30]; mov ecx, [ecx + 0x0C]; mov ecx, [ecx + 0x1C]; ...
获取Kernel32基地址的几方法
liwei8703的专栏
12-15 1319
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
获取kernel32.dll基址
bcbobo21cn的专栏
01-03 5664
获取kernel32.dll基址 一 原理和概述 找kernel32基地址的方法一般有三:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
关于kernel32基地址获取
xrain_zh的专栏
03-27 5034
[-] 关于kernel32基地址获取 一shellcode获取kernel32dll基地址二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地址) 首先了解TEB,
Python 获取指定模块基址
Wrpzkb
05-14 3734
因为昨天研究FPS游戏时候,发现有个动态地址每次重启电脑都会不同,然后因为有过用C和易语言编写指定模块名获取基址的经验,所以打算用Python来试试 在网上搜索了一点资料,发现有吾爱有一篇是使用Python32位,通过Ntdll库进行模块遍历。 将代码复制粘贴,因为我使用的是 Python64位的,改了改代码,但是发现失败了,搜不出来,因为代码涉及到PE头,目前还没碰到这块区域,代码作者也说他只是复制粘贴的,所以也不甚清楚为什么,就只能另寻出路了。 def _ReadMemeryInt(hGameHand.
c++ 读取内存数据 基址_内存管理(仅学习)
weixin_39946798的博客
11-03 1940
理解linux内存管理首先得理解内存映射。程序用的都是逻辑地址,以下为objdump反汇编程序的结果,左边一列都是逻辑地址:000000000040053c : 40053c: 55 push %rbp 40053d: 48 89 e5 mov %rsp,%rbp 400540: bf 4c 06 40 0...
kernel32基地址获得学习笔记
ProgrammingRing的专栏
09-08 7112
原文链接:点击打开链接 第一方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll实现无导入表的hello world
Win32 XP 下和WIN7下获取Kernel32基址方法
weixin_30674525的博客
03-16 242
;xp下使用_GetKernelBase proc local @dwRet pushad assume fs:nothing mov eax,fs:[30h] ;获取PEB所在地址 mov eax,[eax+0ch] ;获取PEB_LDR_DATA 结构指针 mov esi,[eax+1ch] ;获取InInitializationOrderModuleL...
Windows x86 Shellcode开发:寻找Kernel32.dll地址
systemino的博客
04-24 788
前言 针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版本相比已...
获得kernel32基地址的通用办法
Sunny_wwc的专栏
04-24 1923
win7上也能用的定位kernel32基址方法 2010-10-21 13:12<br />看雪上看到的,挺不错,转至<br />------------------------------------------------------------------------------------------------<br />通过在InInitializationOrderModuleList中查找kernel32.dll模块名称的长度来定位它的基地址,因为"kernel32.dll"的最后一个字符
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1105
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
Kernel32加载地址查找的基本方法
BlackStone的博客
01-13 1770
搜索内存中的API有许多方法,主要的是要找到KERNEL32.DLL的加载地址,常用的基本方法也就几。 一、通过线程初始化时压入堆栈的ExitThread的地址来得到KERNEL32.DLL的地址。 二、通过SEH异常链表 三、通过TEB得到PEB结构的地址
学习笔记通过PEB获取kernal32.dll基地址
popkun222的专栏
03-06 1206
原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll基址 ; 从PEB结构中搜索kernel32.dll的基地址 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...
查找kernel32.dll 基地址 SEH
x
08-09 224
根据SEH来找, teb.tib.exceptionlist 中最后一个EXCEPTION_REGISTRATION 异常处理函数在kernerl32 中 最后一个 EXCEPTION_REGISTRATION.prev = 0ffffffffh 根据这个特征找到EXCEPTION_REGISTRATION.handler , 去掉10000h, 模块都在64k边界上 .386 .model flat, stdcall option casemap:none include wind.
Win 7下定位kernel32.dll基址及shellcode编写
wgdguodong2008的专栏
06-18 705
标 题: Win 7下定位kernel32.dll基址及shellcode编写 作 者: Cryin 时 间: 2010-10-14,22:19:43 链 接: http://bbs.pediy.com/showthread.php?t=122260 Win 7下定位kernel32.dll基址及shellcode编写 Author:Cryin Data:2010.10.14 B
CE教程:两种方法解析游戏指针动态与基址
本文档详细介绍了在Windows环境下,使用 Cheat Engine (CE) 这款流行的内存编辑器工具,探寻游戏中指针地址的两种方法。首先,作者采用的是“分析法”。他首先启动CE教学软件,版本为6.2汉化版,通过教程引导进入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值