kernel32基地址获得

最新推荐文章于 2023-10-16 10:21:52 发布
最新推荐文章于 2023-10-16 10:21:52 发布
阅读量1.5k 收藏
点赞数 1
文章标签: exception list module dll 存储 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whypp/article/details/5681172
版权
本文介绍了在Windows环境下,病毒常用的技术之一——如何在进程中获取kernel32.dll的基地址。通过线程初始化时的堆栈指针、遍历SEH异常链、以及通过TEB和PEB_LDR_DATA结构,详细讲解了三种获取kernel32.dll基地址的方法,以便动态加载库和API函数。
摘要由CSDN通过智能技术生成

kernel32基地址获得

    

    kernel32基地址的获得也是病毒中必不可少的技术,因为在win32环境中一般初始化PE文件的时候,我们的ntdll.dll, kernel32.dll是随进程以及线程初始化时候加载的。所以即使程

序中我们不引入任何输入表结构,这两个DLL在我们程序进程以及线程初始化时也必须加载。所以我们今天这篇文章的目的就是在我们的进程内存空间中来获得加载kernel32.dll的基地址。因为我们获得

kernel32.dll的基地址后,就可以获得LoadLibray函数来继续加载其他的动态链接库,然后再通过我们的GetProcAdress函数来获得相应需要的api函数地址,这样也就做到了可移植性的要求,所有的函数

均是自己动态获取并填充。

    

    今天我给大家介绍三种获取kernel32.dll基地址的技术,其实还有部分方法也可以获得,只是这3种比较通用,也是病毒中经常用到的。它们分别是

    1. 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。

    2. 遍历seh异常链,然后获得EXCEPTION_REGISTRATION结构prev为-1的异常处理过程地址,这个异常处理过程地址是位于kernel32.dll,通过它搜索得到kernel32.dll的基地址。

    3. 通过TEB获得PEB结构地址,然后再获得PEB_LDR_DATA结构地址,然后遍历模块列表,查找kernel32.dll模块的基地址。
    
  1.

第一种方法:

  我们上面介绍了线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是

程序入口点处)通过获得堆栈指针中ExitThread函数(当然你要想创建一个线程时候获得也可以o(∩_∩)o...哈哈)。

  我们直接通过
  mov  edx, [esp] ;获得堆栈指针中ExitThread地址到edx寄存器。因为ExitThread地址在kernel32.dll空间中,所以我们可以通过它往上搜索来获得基地址。

  分析过kernel32.dll的朋友应该都知道kernel32.dll的块对齐值是00001000h, 并且一般DLL以1M为边界,所以我们可以通过10000h (64k) 作为跨度,这样可以增加搜索速度。我们如何确定这个

地址是基地址,我们都知道我们判断这个地址的前两个字节是否是"MZ",然后定位到PE头结构,然后判断是否是"PE",如果这两个都符合的话则表示我们的地址则是基地址了。。

  有了以上的了解我们就可以来写代码了。


  mov  edx, [esp] 
 .Next:  
  dec  edx  ;
  xor  dx, dx  ; 减去跨度
  cmp  word [edx], "MZ"
  jz  .IsPe
  jmp  .Next
  
 .IsPe:
  mov  eax, [edx+3ch]
  cmp  word [eax+edx], 'PE'
  jnz  .Next

最低0.47元/天 解锁文章
whypp
关注
kernel32基地获得学习笔记
ProgrammingRing的专栏
09-08 7111
原文链接:点击打开链接 第一种方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll基地。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地址windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
查找kernel32.dll 基地 stack
x
08-10 409
从[esp]获取kernel32中call 指令push的返回地址, 即应用程序返回后的地址 rtlexituserthread , 有些是exitthread. 拿到这个地址就拿到了kernel32空间的某个值, 模块地址64k对齐,去掉低2个字节来对齐. 然后依次减64k寻找 .386 .model flat, stdcall option casemap:none include windows.inc include user32.inc includelib user...
病毒程序的重定位+动态获取API+获取kernel32.dll基地+钩子+驻留内存
chopstics的专栏
07-07 3701
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址,病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
获取kernel32.dll
bcbobo21cn的专栏
01-03 5658
获取kernel32.dll 一 原理和概述 找kernel32基地的方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32基地的方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
关于kernel32基地获取
xrain_zh的专栏
03-27 5033
[-] 关于kernel32基地获取 一shellcode获取kernel32dll基地获取当前进程的PID 文件名 以及完整路径 关于kernel32基地获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地) 首先了解TEB,
获取模块
最新发布
weixin_50217210的博客
10-16 543
Windows 中,使用动态链接库(DLL)的函数通常通过在运行时获取函数的地址来调用。这个过程被称为 "API 动态解析"。
得到kernel32基地后如何调用函数
03-16
可以使用GetModuleHandle函数获取kernel32.dll基地,然后使用GetProcAddress函数获取函数的地址。例如,要调用MessageBox函数: 1. 获取kernel32.dll基地: HMODULE hModule = GetModuleHandle(L"kernel32...
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1105
VOID ShowDll() { //Kernel32.dll DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
m0_62783065的博客
12-30 454
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
PE头文件分析
weixin_45256499的博客
06-16 262
相关知识介绍 PE 中涉及的地址有四类: 虚拟内存地址 ( VA ) 相对虚拟内存地址 ( RVA ) 文件偏移地址 ( FOA ) 在winhex中看到的就是FOA 特殊地址 用户的 PE 文件被操作系统加载进内存后, PE 对应的进程支配了自 己独立的 4GB 虚拟空 间。在这个空间中定位的地址称为虚拟内存地址 (Virtual Address ,VA ) 进程本身的 VA =进程的基地 + 相对 虚拟内存地址 。 相对虚拟内存地址 (Reverse Virtual Address ,RVA
实验一 PE头及导入表的应用
babywhale_bi的博客
01-11 948
逆向工程实验一
获取Kernel32基地的几种方法-相关结构
wowolook的专栏
04-01 4689
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
获得KERNEL32.DLL模块地址以及函数的地址
SUNE__学无止境
05-29 2851
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
逆向工程实验
FFFde博客
01-18 2455
逆向工程实验1、PE头及导入表应用2、PE导出表分析及应用3、应用软件破解4、壳应用 1、PE头及导入表应用 1、PE可执行文件分析 1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.in
利用FS寄存器获取KERNEL32.DLL算法的证明
sea
01-09 5042
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
PE文件——导入表&导出表&函数覆盖
Woolemon的博客
04-06 6222
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
获取Kernel32基地的几种方法
liwei8703的专栏
12-15 1319
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块基地,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值