通过PEB得到Kernel32的基址,及遍历导出表寻找GetProcAddress

最新推荐文章于 2022-03-22 19:44:59 发布
最新推荐文章于 2022-03-22 19:44:59 发布
阅读量365 收藏 1
点赞数
原文链接:http://www.cnblogs.com/smallDouble/p/5123487.html
版权

 

 

通过Windbg可以看到上面结果的成员及关系, 然后我OD调试看看  在windows7调试的

上图中是PEB的起始位置

这里是PEB_LDR_DATA

 

这里就可以看到第一个载入的dll是ntdll.dll

第二个是kernelbase.dll

这里就是我们所需要的Kernel32.dll的地址了

 

下面是通过遍历导出表得到相应的函数

_getApi proc _hModule,_lpApi
   local @ret
   local @dwLen

   pushad
   mov @ret,0
   ;计算API字符串的长度,含最后的零
   mov edi,_lpApi
   mov ecx,-1
   xor al,al
   cld
   repnz scasb
   mov ecx,edi
   sub ecx,_lpApi
   mov @dwLen,ecx

   ;从pe文件头的数据目录获取导出表地址
   mov esi,_hModule
   add esi,[esi+3ch]
   assume esi:ptr IMAGE_NT_HEADERS
   mov esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
   add esi,_hModule
   assume esi:ptr IMAGE_EXPORT_DIRECTORY

   ;查找符合名称的导出函数名
   mov ebx,[esi].AddressOfNames
   add ebx,_hModule
   xor edx,edx
   .repeat
     push esi
     mov edi,[ebx]
     add edi,_hModule
     mov esi,_lpApi
     mov ecx,@dwLen
     repz cmpsb
     .if ZERO?
       pop esi
       jmp @F
     .endif
     pop esi
     add ebx,4
     inc edx
   .until edx>=[esi].NumberOfNames
   jmp _ret
@@:
   ;通过API名称索引获取序号索引再获取地址索引
   sub ebx,[esi].AddressOfNames
   sub ebx,_hModule
   shr ebx,1
   add ebx,[esi].AddressOfNameOrdinals
   add ebx,_hModule
   movzx eax,word ptr [ebx]
   shl eax,2
   add eax,[esi].AddressOfFunctions
   add eax,_hModule
   
   ;从地址表得到导出函数的地址
   mov eax,[eax]
   add eax,_hModule
   mov @ret,eax

_ret:
   assume esi:nothing
   popad
   mov eax,@ret
   ret
_getApi endp

 

szUnKernel32        db         06Bh, 000h, 065h, 000h, 072h, 000h, 06Eh, 000h, 065h, 000h, 06Ch, 000h, 033h, 000h, 032h, 000h
                    db         02Eh, 000h, 064h, 000h, 06Ch, 000h, 06Ch, 000h, 0,0      ; 定义的UNICODE字符串

_getKernelBase  proc _dwKernelRetAddress

    LOCAL @ret:dword
    pushad
    pushfd
    assume fs:nothing          ;;  这个必须要加  要不然后面的会报错
        mov eax, fs:[30h]         ;PEB的地址
        mov eax, [eax+0ch]        ;Ldr的地址
        mov esi, [eax +1ch]       ;Flink地址
@A:     
        mov edi, [esi+20h]
        push edi
        xor ecx, ecx
        dec ecx            ;; 设置循环次数-1
        xor eax, eax        ;;   设置搜索内容0
           repne scasw      ;; 一直重复搜索到EDI字符串末尾的0   这里要用scasw  因为是UNICODE
           not ecx         ;;得到搜索次数,也就是字符串的完整长度
           dec ecx         ;; -1得到字符串不包含末尾0的长度
           
           pop edi
           push esi
           mov esi, offset szUnKernel32
        repe cmpsb
        pop esi
        mov @ret, esi
        mov esi, [esi]
        jnz @A
        
        mov esi,   @ret
        mov eax, [esi + 08h]         ;eax就是kernel32.dll的地址
        mov @ret, eax
        popfd
        popad
        mov eax, @ret
    
   ret
_getKernelBase  endp  

 

转载于:https://www.cnblogs.com/smallDouble/p/5123487.html

weixin_34272308
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
4. 遍历遍历,通过`lodsd`指令获取每个LDR_MODULE结构,检查其中的模块名称是否为"kernel32.dll"。 然而,这种方法在Windows 7及更高版本中不再适用,因为系统对PEB_LDR_DATA结构进行了修改。在Windows 7...
导入导出地址分析(根据库文件名求出:导入函数数量、函数序号、函数名称)
Hardworking666的博客
04-20 1108
文章目录一、基础知识找出库文件名和RVAsec和RAWsec二、分析INT和IAT,得出导入函数数量三、第一函数序号、第一函数名称 一、基础知识 导入地址(Import Address Table,IAT)用来记录程序正在使用哪些DLL中的哪些函数。 导入名称(Import Name Table,INT) 找出库文件名和RVAsec和RAWsec 通过分析PE头,可得notepad.exe的各节区头范围如4-12所示。并分析4-13。 二、分析INT和IAT,得出导入函数数量 下面进一步分
windbg分析Kernel32.dll导出
weixin_30566063的博客
04-10 488
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称(下面统称为ENT),匹配到需要的函数...
逆向——PE导出分析及应用
young的博客
03-22 1534
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件的导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
PE学习(五)导出,编写DLL及查看DLL导出信息
零点起步
03-24 4098
第五章 导出 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS ENDS, *PIMAGE_NT_HEADERS32;
PE结构导出详细解析
huobengle
01-27 510
只码重点 DLL导出方式: 按名称导出: 1.__declspec(dllexport) 2. LIBRARYDLL EXPORTS FuncDll 按序号导出: LIBRARYDLL EXPORTS FuncDll @1NONAME 按名称和序号导出: LIBRARYDLL EXPORTS fnDll1@1NONAME fnDll2@2 //这个就是 ...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程和模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握尚不深入,对于WINDOWS系统进程,仅能...
Windows内核驱动EPROCESS遍历进程模块
12-14
这可以通过遍历全局的进程链(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链链接在一起。 2. **访问EPROCESS结构**:遍历过程中,对每个EPROCESS结构进行检查。结构中的` Peb `...
电子科技大学软件安全搜索API实验
01-05
通过遍历模块初始化链InInitializationOrderModuleList,可以找到kernel32.dll的节点,并计算其基地址。 第二部分涉及定位LoadLibrary()和GetProcAddress()的地址。首先,从kernel32.dll的基地址开始,找到PE头,...
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出
pjz969的专栏
02-26 3776
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出就是记载着动态链接库的一些导出信息。通过导出DLL 文件可
【逆向】【PE入门】使用PEView分析PE文件
热门推荐
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOS头? IMAGE_DOS_HEADER是干嘛的? DOS块是干嘛的? 什么是NT头? Signatrue? IMAGE_FILE_HEADER? IMAGE_OPTIONAL_HEADER? section头? 1.找到 NT 头的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
KERNEL32.dll的ExportTable以及如何查找导出的函数
anyingga7675的博客
12-01 293
我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的,所以这一篇呢,就分析一下DLL里的ExportTable,以KERNEL32.dll为例。 首先在Hex Edit里打开KERNEL32.dll: 可以看出,KERNEL32.dll还是符合PE文件格式滴~ ① ExportTable(RVA):00 0B 4D...
Kernel32.dll 文件的导出分析
qq_43675728的博客
10-16 1395
Kernel32.dll 文件的导出分析 一.实验目的 使用PEviews与OllyDbg分析Kernel32.dll。 二.实验原理准备 (1)PE/ELF文件格式 1、PE/ELF都是可执行文件格式。(被装载器和链接器使用的可执行文件的规 范格式,可执行,文件时二进制分析的输入。) 2、典型代: Unix/Linux下:Executable and Linkable Format(ELF)格式。 Windows下,Portable Executable(PE)格式。
GetProcAddress函数实现和分析
half_face的博客
05-26 1万+
kernel32.dll里有一个GetProcAddress函数,可以找到模块中的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress(     IN HMODULE hModule,     IN LPCSTR lpProcName     ); hModule 是模块的句柄,说白了就是内存中dll模块的首地址 loP
获取GetProcAddress函数地址
做一个快乐学习者
10-28 5312
我们都知道,GetProcAddress函数就是从系统文件kernel32.dll导出的,而kernel32.dll是系统的基础链接库,每一个程序都会加载kernel32.dll的,我们只要得到kernel32.dll基址就可以找到GetProcAddress函数的地址了。而获取kernel32.dll的加载基址的方法有3种,第一种就是通过特征匹配的暴力搜索,第二种就是利用系统的SEH机制找到...
完美实现GetProcAddress
weixin_34395205的博客
12-17 732
2019独角兽企业重金招聘Python工程师标准>>> ...
通过PEB遍历进程模块(x64/wow4)
05-12
以下是通过PEB遍历进程模块的代码示例: ```c++ #include #include #include typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *PUNICODE_STRING; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值