获取动态库中Windows API的地址(以ntdll.dll为例子)

最新推荐文章于 2024-07-23 09:27:09 发布
最新推荐文章于 2024-07-23 09:27:09 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 网络安全 # 汇编语言 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37477009/article/details/111580334
版权

一、任务
打印Windows 2003中ntdll.dll的所有函数名及其地址。

二、流程
1.获取ntdll.dll的基址
(1)汇编代码

	unsigned long addr;
    __asm{
        mov eax, fs:30h;
        mov eax, [eax+0ch];
        mov ebx, [eax+1ch];
        mov eax, [ebx+8];
        mov addr, eax;
    };

(2)解读
mov eax, fs:30h;
此时,eax存储了当前进程PEB的首地址。

mov eax, [eax+0ch];
此时,eax存储了PEB_LDR_DATA的首地址;

mov ebx, [eax+1ch];
此时,ebx存储了InInitOrderModuleList的首地址。

mov eax, [ebx+8];
InInitOrderModuleList属于LIST_ENTRY结构(可通俗理解为双链表结构),每个节点表示一个LDR_MODULE。
首个LDR_MODULE包含的是ntdll.dll,其Flink指向的LDR_MODULE包含的是kernel32.dll。
由LIST_ENTRY结构可知,[ebx+8]的内容为ntdll.dll的首地址,存储于eax中。

那要得到kernel32.dll的首地址呢?
mov ebx, [ebx];
mov eax, [ebx + 8];

mov addr, eax;
把ntdll.dll的首地址存储于addr中。
在这里插入图片描述
在这里插入图片描述
(2)验证正确性
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

此处的操作在之前的博文中讲过,不再赘述;如有需要,请查看:
Win32的缓冲区溢出攻击(涉及用WinDbg分析 overflow函数的返回地址所在的地址与buffer首地址的距离 OFF_SET)

2.获取ntdll.dll的API
(1)源代码

#include <stdio.h>
#include <stdlib.h>

unsigned long GetNtdllFuncAddr()
{
    unsigned long BaseAddrOfModule, NameOfModule;
    unsigned long AddressOfFunctions, Address0fNames, NumberOfFunctions;

    __asm {
        mov edx, fs:30h;
        mov	edx, [edx+0ch];
        mov edx, [edx+1ch];
        mov eax, [edx+8];
        mov BaseAddrOfModule,eax;
        mov ebx, eax;
        mov edx,[ebx+3ch];
        mov edx,[edx+ebx+78h];
        add edx,ebx;
        mov esi,edx;
        mov edx,[esi+0ch];
        add edx,ebx;
        mov NameOfModule,edx;
        mov edx, [esi + 14h];
        mov NumberOfFunctions, edx;
        mov edx,[esi+1ch];
        add edx,ebx;
        mov AddressOfFunctions,edx;
        mov edx,[esi+20h];
        add edx,ebx;
        mov Address0fNames,edx;
    }

    FILE * fp = fopen("C:\\work\\output.txt","w");
    fprintf(fp, "Name of Module:%s\n\tBaseAddr of Moudle=0x%p\n",
           (char *)NameOfModule, BaseAddrOfModule);
    fprintf(fp, "Number of Functions is %ld\n", NumberOfFunctions);

    for(int i = 0; i < NumberOfFunctions; i++) 
    {
         fprintf(fp, "第%d个Function:\n\tAddress=0x%p\n\tName=%s\n", i + 1,
            (BaseAddrOfModule + *((unsigned long *)(AddressOfFunctions) + i)),
            (char *)(BaseAddrOfModule + *((unsigned long *)(Address0fNames) + i)));
    }
	fclose(fp);
}

void main(void)
{
    GetNtdllFuncAddr();
}

(2)其中的汇编代码解读
1)获取ntdll.dll的基址(见"二、1.")
在这里插入图片描述

将ntdll.dll的基址存储在ebx中。

2)第2部分
在这里插入图片描述
①从加载地址(ebx存储的地址)开始,内存映像(PE文件的内存映像)存放的是IMAGE_DOS_HEADER结果。(通俗理解,IMAGE_DOS_HEADER的首地址即加载地址)

mov edx, [edx+3ch];
即把e_lfanew的值存储在edx中,它值为IMAGE_NT_HEADERS的偏移
在这里插入图片描述
mov edx, [edx+ebx+78h];
在这里插入图片描述
在这里插入图片描述

①由上2张图可知,要指向DataDirectory,则edx + 18h + 60h = edx + 78h;
②由于edx存储的是IMAGE_NT_HEADERS的偏移,故还需要加上基址,即ebx + edx + 78h指向的便是DataDirectory的首地址;

在这里插入图片描述

③[edx+ebx+78h]便是DataDirectory[0], 即VirtualAddress,指向IMAGE_EXPORT_DIRECTORY。

add edx,ebx; mov esi,edx;
但凡是地址,都需要加上基址;完成④中的2条指令后,esi指向的便是IMAGE_EXPORT_DIRECTORY在内存中的首地址。

3)第3部分
在这里插入图片描述

如下图所示:
在这里插入图片描述
将NameOfModule, NumberOfFunctions, AddressOfFunctions, AddressOfNames读出并存储于变量中。

(3)对输出的一些解读
在这里插入图片描述
在这里插入图片描述

①图片来源博客地址将在“扩展阅读”中注明。
②以AddressOfname为例,其指向函数名字符串首地址(RVA)构成的数组的首地址,即(unsigned long *)(AddressOfNames),+i表示指向下一个 RVA,故*((unsigned long *)(AddressOfNames) + i)表示的是所指向的第i个RVA的值,即函数名字符串的首地址。
③只要是地址,就需要加上基址。

(4)结果
在这里插入图片描述
在这里插入图片描述
三、扩展阅读
1.PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表(“二、2.(3)的图片来源”)

南七行者
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取DLL的基地址
IDoubleTong的博客
02-24 2693
(1)首先通过选择FS在内存找到当前的线程环境块TEB。 (2)线程环境块找到进程环境块PEB的指针。 (3)进程环境块找到指向PEB_LDR_DATA结构体的指针,其存放着已经被进程装载的动态链接库的信息。 (4)PEB_LDR_DATA结构体找到指向模块信息LIST_ENTRY链表的头指针。 (5)遍历_LIST_ENTRY链表,找到想要获取DLL的基地址。 1.TEB &amp;nbs...
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3296
1.Windows通过TEB封装信息,TEB包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
安全移除ntdll.dll以防止系统崩溃:正确操作指南
最新发布
Cathy_919的博客
07-23 698
Windows系统的核心层面,ntdll.dll文件承载了执行操作系统NT内核功能的关键代码,是保障系统稳健运作的基石。其存在对于维持系统稳定性、确保程序顺利启动起着决定性作用。一旦遭遇ntdll.dll的遗失、损坏或不当移除,系统可能会面临崩溃风险、应用程序启动失效,甚至出现蓝屏死机等严峻后果。
skia#动态库地址.
个人进步之路
12-06 508
skia#地址. > copy skiasharp\2.80.2\runtimes\win-x64\native\libSkiaSharp.dll c:\lib\win-x64 > cd lib\windows > lib /def:skia.def /MACHINE:X64 /out:SkiaSharp.lib > copy SkiaSharp.lib c:\lib\win-x64 > 上面为使用方法,参考地址
NtDLLAPI
伤了
04-14 748
转帖From:郁金香的csdn博客http://blog.csdn.net/kkksi13996362600/archive/2009/03/05/3959312.aspx   1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnu...
linux动态库运行时函数地址怎么查看,查看正在运行的动态链接的程序,某个动态库函数的虚拟地址...
weixin_39967120的博客
05-04 1828
目前,大部分可执行程序为了节省内存空间等目的,都是动态链接的, 动态链接的程序在每次运行时,所依赖的动态库地址总是变化的,那么库的函数地址也跟着变化。如何在程序(动态链接的)运行期间,查看某个库函数的虚拟地址?方法很简单,首先确定,你需要查看的函数,在哪个动态库,并且确定该函数相对于该动态库的相对地址。其次,在程序运行期间,查看程序的映射表,找到动态库的加载地址。最后将这两个地址相加,就是你...
ntdllapi
B_H_L的专栏
06-05 3190
ntdll.dllWindows系统从ring3到ring0的入口。位于Kernel32.dll和user32.dll的所有win32 API 最终都是调用ntdll.dll的函数实现的。ntdll.dll的函数使用SYSENTRY进入ring0,函数的实现实体在ring0
ntdll.dll
02-23
是一个dll文件,ntdll.dllNT操作系统重要的模块。在一些程序也是必不可少啊!
ntdll压缩/解压例子-易语言
06-12
在IT领域,尤其是在Windows系统编程,`ntdll.dll`是一个至关重要的动态链接库,它提供了操作系统内核与用户模式应用程序之间的接口。本教程将深入探讨`ntdll`库在压缩和解压缩操作的应用,以易语言作为编程示例...
Windows Hook经验总结之一:API Hook方法汇总
ITer之家
11-17 5223
HOOK的目的是用我们自己的代码取代一些函数的代码以改变程序的行为。 静态HOOK:在进程运行前挂钩,采用用户级进程即可完成。比如:有些程序会在启动时需要原光盘,如果我们修改获取驱动类型的函数则可以从硬盘启动。 动态HOOK:挂钩系统进程(如服务)时要动态挂钩 本文介绍常见的hook方法和实现机制。
Windows核心编程》读书笔记二十章 DLL高级技术
sesiria的博客
12-18 1750
第二十章 DLL高级技术 本章内容 20.1 DLL模块的显示载入和符号链接 20.2 DLL的入口点函数 20.3 延迟载入DLL 20.4 函数转发器 20.5 已知的DLL 20.6 DLL重定向 20.7 模块的基础地址重定位 20.8 模块的绑定 作者认为 20.7 和20.8两小节介绍的技术非常重要,能 显著提高整个系统的性能。 20.1 DLL
Windows系统如何获取系统的启动时间.NTDLL.DLL有很多鲜为人知的API函数,这些函数非常有用
03-20
Windows系统如何获取系统的启动时间.NTDLL.DLL有很多鲜为人知的API函数,这些函数非常有用
易语言API进程路径
07-22
易语言API进程路径源码,API进程路径,GetModuleFileNameEx,OpenProcess
windows用户称拦截api
04-06
总结windows进程所需要的动态库文件都是以写入时拷贝的方式映射到进程地址空间的。这样,我们只能拦截指定的进程。修改目标进程地址空间的指定api的入口和出口地址之间的任意数据,使之跳转到我们的拦截代码...
C++开发值得推荐的十大高效软件分析工具
热门推荐
dvlinker的技术专栏
06-16 1万+
本文详细讲述在Windows C++软件的日常开发和维护的过程用到的一些常用工具,借助这些工具,可以高效快速地分析和排查软件开发调试过程遇到的各种问题。
打印出ntdll.dll所有函数名字和地址
dididisailor的博客
11-26 3078
0x01 打印出ntdll.dll所有函数名字和地址 0x02 在任何进程都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
『 Linux 』 进程地址空间与动态库地址
小侯宝的博客
06-14 1043
当可执行程序被加载进内存成为进程时,操作系统将会给这个寄存器存放这个进程代码的初始位置(虚拟地址 ),例如程序的入口点;为了使不同的进程能够同时使用同一份物理内存的库副本,库的代码必须能够运行在任何地址上即它们必须是与位置无关的;这是通过确保代码执行时不依赖它的绝对地址来实现的,即代码对于数据的禁用是基于它当前的运行地址来计算的;目标文件最终被生成的动态库地址将可以加载到物理内存的任意位置,并随机为其分配进程地址空间;如,它可以避免为每个使用特定库的进程单独加载库的副本从而节省内存资源;
ntdll
huanongying131的博客
10-30 612
http://undocumented.ntinternals.net/index.html?page=UserMode%2FStructures%2FTHREAD_BASIC_INFORMATION.html
通过反汇编ntdll.dll可以通过汇编代码重写ntdll.dllapi
07-14
通过反汇编ntdll.dll可以获取其汇编代码,然后可以尝试通过修改汇编代码来重写ntdll.dllAPI。然而,这是一项相当复杂和高风险的任务,需要对汇编语言、操作系统内部机制和Windows API有深入的理解。 在尝试重写ntdll.dllAPI之前,需要明确以下几点: 1. 法律和授权:修改和重写操作系统核心组件的行为可能是违法的。确保你具备合法的授权或许可,并遵守相关的法律和规定。 2. 系统稳定性和安全性:修改核心组件的行为可能导致系统不稳定、出现错误或安全漏洞。在进行任何修改之前,务必评估潜在的影响,并做好充分的测试和验证工作。 3. 内核知识和技能:重写ntdll.dll需要深入了解Windows内核、汇编语言和操作系统机制。这是一项高级任务,需要具备相关的知识和技能。错误的修改可能导致系统无法启动或出现其他严重问题。 总结来说,尝试通过反汇编和修改ntdll.dllAPI是一项高风险且复杂的任务,需要非常谨慎和专业的处理。如果你有特定的需求,建议先考虑其他可行的解决方案,如使用Hook技术或编写自定义的代理来实现所需的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值