shellcode API的自动定位

最新推荐文章于 2022-01-10 14:45:41 发布
最新推荐文章于 2022-01-10 14:45:41 发布
阅读量968 收藏 2
点赞数
分类专栏: 网络安全 文章标签: api list table 代码分析 function c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u200915331/article/details/7767455
版权
本文介绍了在shellcode中动态定位API的步骤,包括查找PEB、PEB_LDR_DATA、InInitializationOrderModuleList,以及如何通过AddressOfFunctions、AddressOfNames和AddressOfNameOrdinals表找到API地址。通过详细分析代码,解释了如何利用PE结构和链表遍历找到kernel32.dll的基地址,并实现API的调用。
摘要由CSDN通过智能技术生成
1.背景知识补充
在使用shellcode的时候有个很大的问题就是动态定位API,下面这段代码介绍的是利用PE结构来寻址API的方法。
步骤:
a.找到PEB
b.找到PEB_LDR_DATA
c.找到InInitializationOrderMod uleList
d.找到kernel32.dll基地址
e.找到PE头
f.找到函数导出表
g.利用导出表的AddressOfFunctions , AddressOfNames, AddressOfNameOrdinals这三个表来寻找API地址。
直接在代码中来看吧
2.代码分析

CLD;清零CF标志位,使后面的LODSD,STOSD等方向确定
push 0x1e380a6a ;hash code of MessageBoxA
push 0x4fd18963 ;hash code of ExitProcess
push 0x0c917432 ;hash code of LoadLibraryA;以上HASH方式即循环右移7位累加
mov esi, esp;esi指向的是这3个hash码
lea edi, [esi - 0xc];edi现在不用管,以后存储找到的API地址使会用到

;make some stack space
xor ebx, ebx
mov bh, 0x04
sub esp, ebx

;push a pointer to "user32" onto stack
mov bx, 0x3233;push '32'
push ebx
push 0x72657375; push 'user'
push esp
xor edx, edx;以上这段代码的目的是为调用LoadLibraryA预先准备好参数

;下面这段代码我着重说明一下:
;fs:[edx + 0x30]指向的是PEB
;PEB中偏移0x0c处即指向PEB_LDR_DATA的指针
;PEB_LDR_DATA结构如下
typedef struct _PEB_LDR_DATA
{
最低0.47元/天 解锁文章
shellcode中动态定位API
whatday的专栏
09-24 1308
  定位API的原理: 所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址   1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。   2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。   3,进程环境块中偏移位置为0x0C的地方存放着...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1545
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
动态定位APIshellcode
weixin_34320724的博客
11-09 240
前面的<<HOOK IAT RING3>>文章中使用到了shellcode,那么这个shellcode是怎么制造出来的呢,本文将为你一步一步的解惑 这个shellcode的主要功能是调用MessageBoxA弹出一个空的对话框,注意此时的地址空间是在别的进程,由于不同的操作系统会影响动态链接库的加载地址,而且不同版本的dll中函数的偏移量RVA也不尽相同,因此写一个通用型...
利用shellcode来实现API自动定位
Misaka10046的博客
09-16 466
代码 #include<stdio.h> void main() { _asm{ CLD//CF标志位清0,防止影响跳转 push 0x1e380a6a push 0x4fd18963 push 0x0c917432//保存MassageBox,ExitProcess,LoadLibrary //的hash值 mov esi,esp//保存栈顶的值 lea edi,[esi - 0xc] xor ebx,ebx mov bh,0x04 sub esp
c++动态定位API地址的shellcode锁定 ,免遭黑客袭击的有效手段!
05-09 521
通过前面介绍的 win_32 平台下搜索 API 地址的办法,我们可以从 FS 所指的线程环境块开始,一直追溯到动态链接库的函数名导出表,在其中搜索出所需的 API 函数是第几个,然后在函数偏移地址(RVA)导出表中找到这个地址。 对于王清的《0DAY安全软件漏洞分析技术》(第二版)第3.4.3章节中动态获取API地址的shellcode的一点改进,将原书中对于dll基地的获取由: ...
0day-简单动态获取API(shellcode)分析NO.1
aimarpp的专栏
10-15 1210
0day安全,代码分析
Windows Shellcode学习笔记——通过VisualStudio生成shellcode
weixin_33753003的博客
09-25 1699
本文讲的是Windows Shellcode学习笔记——通过VisualStudio生成shellcode, 0x00 前言 shellcode是一段机器码,常用作漏洞利用中的载荷(也就是payload)。 在渗透测试中,最简单高效的方式是通过metasploit生成shellcode,然而在某些环境下,需要定制开发自己的shellcode,所以需要对...
【网络安全】红蓝攻防:shellcode分析
HBohan的博客
01-10 4163
在做红蓝攻防时,常常要用到cs、msf等工具,使用工具生成shellcode或可执行程序,那么小小的shellcode为何能做这么多事情,拿到shellcode后又该怎么分析。希望这篇文章能给大家带来答案,文章中不正确的地方请及时指出。
ShellCode代码直接注射到远程进程内部
05-18 1479
这里说的是将ShellCode代码直接注射到远程进程内部使它运行! 以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型来编写代码) 文章假定各位已经有了一定的编程基础 1.远程线程注入原理 先说说远程线程注入原理,以前我们编写远程注入代码的时候总是需要自己计算代码
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2791
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
静态获得函数地址shellcode实现
12-10
通过静态函数地址调用实现弹出command窗口的shellcode编写全过程
实现自己的LoadLibrary
weixin_33994429的博客
02-27 1094
2019独角兽企业重金招聘Python工程师标准>>> ...
shellcode定位kernel32与LoadLibrary
Mr.Out的专栏
02-05 3277
<br />//定位Kernel32 __declspec(naked) int GetKernel32Base() { __asm { XOR ECX, ECX ; ECX = 0 MOV ESI, FS:[ECX + 0x30] ; ESI = &(PEB) ([FS:0x30]) MOV ESI, [ESI + 0x0C] ; ESI = PEB->Ldr MOV
根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址
神经网络爱好者
06-03 2839
☆ 根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址本节与PE文件格式相关的术语以>为准([13]),不再强调该点。winnt.h中定义了部分相关数据结构,后面如未单独注明来自哪个头文件,均隐指来自winnt.h。执行vulnerable_0.exe,进入windbg调试状态。> !list -t _LIST_ENTRY.Flink -x "dd" -a "+
代码定位技术
tutucoo
12-14 433
代码定位技术一般用于远程线程注入和病毒感染技术当中,当注入和感染的代码使用了全局变量,全局变局的地址就需要进行重定位,否则代码无法正常执行。这是因为,代码注入其他进程空间以后,注入的位置跟原来程序中的位置不一样,而全局变量在汇编层其实就是一个偏移,因此无法再通过原来的偏移找到全局变量了。 既然如此,我们只要找到注入位置的差值,我们就能一直准确定位到我们想要的全局变量了。 所以写入到目标进程的代码...
动态定位API函数之shellcode编写
mdp1234的博客
11-28 1116
通用shellcode编写动态定位API 背景: 如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行 这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用
c语言计算二进制文件的哈希值,[原创] 通过Hash值计算API的名字
weixin_39888018的博客
05-23 418
[原创] 通过Hash值计算API的名字2007-11-19 17:397416[原创] 通过Hash值计算API的名字2007-11-19 17:397416通过Hash值计算API的名字2007.11.15by marxixing@tom.com在分析shellcode的过程中,我们经常会遇到被编码后的API的hash值,因为hash算法是不可逆算法,我们不可能通过一个DWORD值得知原始的a...
通过地址获取源代码信息(转)
jszj的专栏
02-20 2202
 (原文:http://blog.csdn.net/gezy_1981/archive/2007/10/28/1852187.aspx)通过地址获取对应的源代码信息转自http://www.cpper.com/innocentius/comments/crash_dump_info/ 你写了一个程序,很开心地把它发布给用户。用户满心欢喜地运行它,突然Windows弹出了一个
关于PE病毒编写的学习(九)——追加病毒的编写(上)
蛛丝
10-27 1857
  OK,兑现我的承诺,从本章开始讲述“追加病毒”的编写方法。我们将实现一个只弹出对话框的良性病毒,但是考虑到这个代码可能造成的危害,我会在感染模块中写入一个小Bug。不过,对于大家的学习是毫无影响的。  回到正题,先介绍一下“追加病毒”,在DOS时代中,这种病毒相当常见。由于.com文件的入口点是固定的,而且我们知道DOS平台程序可以随意使用中断,因此追加病毒只要将病毒代码追加到宿主文件尾,然后修改入口点代码成“jmp [病毒入口点]”,病毒执行完成后,再jmp到宿主程序。  到了win32平台下,这种方
深入理解Windows Shellcode技术
1. **Shellcode基础**:Shellcode的基础涉及系统调用、动态链接库(DLL)定位以及堆栈处理。 - **系统调用**:Shellcode通常通过调用操作系统提供的系统服务来执行功能,如打开网络连接、读写文件等。 - **寻找...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值