动态加载技术的几种方法

最新推荐文章于 2024-07-05 11:49:18 发布
最新推荐文章于 2024-07-05 11:49:18 发布
阅读量1.4k 收藏
点赞数
分类专栏: 海纳百川 文章标签: image dll dos 硬件驱动 windows api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokint3/article/details/7539887
版权
所谓动态加载技术,就是脱离导入表,编写代码来获取API调用
主要实现目标就是动态获取指定DLL的基地址,然后通过查找其导出表以获取API地址
其中获得指定DLL基地址方法有很多,下面列出几种
硬编码方式就不说了,这种办法虽然代码量少但太糟糕,经常出现各种问题
在说明具体方法之前先把4G地址空间的分布说明下
用户态低2GB空间分配
0x00000000~0x0000FFFF     空指针区,用于帮助程序员避免引用错误的指针,访问此处导致访问越权
0x00010000~0x7FFEFFFF     专用进程地址空间
0x7EFDE000~0x7EFDEFFF    用于第一个线程的线程环境块(TEB)调试时可以看到fs寄存器为0x7EFDE000。系统会在这一页前面创建附加TEB(从地址0x7FFDD000开始向上)       
0x7FFDF000~0x7FFDFFFF    进程环境块(有时fs寄存器又会等于7FFDF000,不知道为什么)
0x7FFE0000~0x7FFEFFFF    共享的用户数据页
0x7FFE1000~0x7FFEFFFF    拒绝访问区域(共享用户数据页面以后剩余的64KB)
0x7FFF0000~0x7FFFFFFF    拒绝访问区域,用于防止线程跨越用户/系统空间边界传送缓存区。在变量MmUserProbeAddress中包含此页的起始地址
核心态高2GB空间分配  //取自WINDOWS PE权威指南 ,下面几个地址分布有些少了位数,我是凭着感觉加上去的,不一定正确
0x80000000~0xc0000000    内核执行体,HAL和硬件驱动程序
0xc0000000~0xc0800000    进程页表和超空间
0xc0800000~0xFFFBE000    系统高速缓存,分页缓冲池,非分页缓冲池
0xFFFBE000~0xFFFC0000    崩溃转储驱动程序区域
0xFFFC0000~0xFFFFFFFF    保留给HAL使用
   
一:
从进城地址空间开始搜索,下面贴上WIN32汇编的代码实现
_Handler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatchertext
pushad
mov esi,_lpExceptionRecord
assume esi:ptr EXCEPTIONRECORD
mov edi,_lpContext
assume edi:ptr CONTEXT
mov eax,_lpSEH
push [eax+0ch]
pop [edi].regEbp
push [eax+08]
pop [edi].regEip
push eax
pop [edi].regEsp
assume edi:nothing,esi:nothing
popad
mov eax,ExceptionContinueExecution
ret
_Handler endp

_GetKernel32Base proc uses edi esi ebx dwEsp
call @F
@@:
pop ebx
sub ebx,offset @B

;安装SEH
assume fs:nothing
push ebp
lea eax, [ebx+offset _safeplace]
push eax
lea eax,[ebx + offset _Handler]
push eax
push fs:[0]
mov fs:[0],esp

mov eax,dwEsp
and eax,0ffff0000h      ;预订地址空间区域的分配粒度(64KB),至于4KB了,那是页面大小分配粒度
.while eax>=70000000h
.if word ptr [eax] == IMAGE_DOS_SIGNATURE
mov edi,eax
add edi,[eax+03ch]
.if word ptr [edi] == IMAGE_NT_SIGNATURE
jmp find
.endif
.endif
_safeplace:
sub eax,10000h      ;模块载入基地址分配粒度(64KB)
.endw
mov eax,0
find:
pop fs:[0]
add esp,0ch
ret
_GetKernel32Base endp

start:
mov eax,[esp]                                    ;[esp]即为用户代码的返回地址,这个地址处在CreateProcess函数中,而这个函数在kernel32.dll中,所以可以按照这个地址向下搜索找到kernel32基地址
invoke _GetKernel32Base,eax

也可以直接从用户态最高地址向下搜索,直到找到DLL特征如kernel32.dll的某个函数
;数据段
    .data

szText  db 'kernel32.dll的基地址为%08x',0
szOut   db '%08x',0dh,0ah,0
szBuffer db 256 dup(0)

;代码段
    .code

start:

   call loc0
   db 'GetProcAddress',0  ;特征函数名

loc0:
   pop edx            ;edx中存放了特征函数名所在地址
   push edx
   mov ebx,7ffe0000h  ;从高地址开始

loc1:
   cmp dword ptr [ebx],905A4Dh
   JE loc2   ;判断是否为MS DOS头标志

loc5:
   sub ebx,00010000h

   pushad         ;保护寄存器1
   invoke IsBadReadPtr,ebx,2
   .if eax
     popad        ;恢复寄存器1
     jmp loc5
   .endif
   popad          ;恢复寄存器1

   jmp loc1



loc2:   ;遍历导出表
   mov esi,dword ptr [ebx+3ch] 
   add esi,ebx ;ESI指向PE头
   mov esi,dword ptr [esi+78h]
   nop
 
   .if esi==0
     jmp loc5
   .endif
   add esi,ebx ;ESI指向数据目录中的导出表
   mov edi,dword ptr [esi+20h] ;指向导出表的AddressOfNames
   add edi,ebx ;EDI为AddressOfNames数组起始位置
   mov ecx,dword ptr [esi+18h] ;指向导出表的NumberOfNames
   push esi


   xor eax,eax
loc3:
   push edi
   push ecx
   mov edi,dword ptr [edi]
   add edi,ebx  ;edi指向了第一个函数的字符串名起始
   mov esi,edx  ;esi指向了特征函数名起始
   xor ecx,ecx
   mov cl,0eh  ;特征函数名的长度
   repe cmpsb
   pop ecx
   pop edi
   je loc4    ;找到特征函数,转移
   add edi,4  ;edi移动到下一个函数名所在地址
   inc eax    ;eax为计数
   loop loc3

   jmp loc5
loc4:
   ;特征函数匹配成功,输出模块基地址
    
    invoke wsprintf,addr szBuffer,addr szText,ebx
    invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
    ret
    end start

二:
从SEH框架开始查找,根据WINDOWS PE权威指南上说的,操作系统结构化异常处理默认分配的的异常处理程序指向kernel32._except_handler3函数,不过经实验在WIN7中这个函数实在ntdll中,所以可能只适用与XP前系统
代码的话可以
assume fs:nothing
mov        eax,fs:[0]
mov        eax,dword ptr [eax+4h]
invoke     _GetKernel32Base,eax        ;这就是上面那个基址搜索函数

三:
从PEB查找
assume fs:nothing
mov eax,fs:[30h]
mov eax,[eax+0ch]
mov esi,[eax+1ch]
lodsd
mov eax,[eax+8]
只需要上面几行代码就可以获得kernel32基地址,具体涉及到TEB,PEB,PEB_LDR_DATA结构,但是用这种方法在WIN7下获得的是kernelbase.dll的基址而不是kernel32,不过这个DLL中也有部分kernel32的函数,虽然没有LoadLibrary函数,但是有LoadLibraryEx函数,所以如果用这种方法的话就应该查找LoadLibraryEx函数地址
不过貌似在哪看到过这种方法不一定有用,因为kernel加载地址可能随机的,不过WIN7,XP都有用。。。。
总之_GetKernel32Base函数搜索基址这种方法最稳定了


下面直接给出动态API调用的hellow world程序吧! 
include		windows.inc

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 数据段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.const

szCaption	db	'恭喜',0
szText		db	'非导入表调用成功!',0
szLoadLibrary	db	'LoadLibraryA',0
szGetProcAddress db	'GetProcAddress',0
szUser32	db	'user32',0
szMessageBox	db	'MessageBoxA',0

		.data?
ALoadLibrary	dd	?
AGetProcAddress dd      ?
AMessageBox	dd	?
dwKernel32Base	dd	?

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 代码段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.code
_Handler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatchertext
	pushad
	mov	esi,_lpExceptionRecord
	assume	esi:ptr EXCEPTIONRECORD
	mov	edi,_lpContext
	assume	edi:ptr CONTEXT
	mov	eax,_lpSEH
	push	[eax+0ch]
	pop	[edi].regEbp
	push	[eax+08]
	pop	[edi].regEip
	push	eax
	pop	[edi].regEsp
	assume	edi:nothing,esi:nothing
	popad
	mov	eax,ExceptionContinueExecution
	ret
_Handler endp

_GetKernel32Base proc uses edi esi ebx dwEsp
	call	@F
	@@:
	pop	ebx
	sub	ebx,offset @B

	;安装SEH
	assume	fs:nothing
	push	ebp
	lea	eax, [ebx+offset _safeplace]
	push	eax
	lea	eax,[ebx + offset _Handler]
	push	eax
	push	fs:[0]
	mov	fs:[0],esp

	mov	eax,dwEsp
	and	eax,0ffff0000h

	.while	eax>=70000000h
		.if word ptr [eax] == IMAGE_DOS_SIGNATURE
			mov	edi,eax
			add	edi,[eax+03ch]
			.if word ptr [edi] == IMAGE_NT_SIGNATURE
				jmp	find
			.endif
		.endif
		_safeplace:
		sub	eax,10000h
	.endw
	mov	eax,0
	find:
	pop	fs:[0]
	add	esp,0ch
	ret
_GetKernel32Base endp

_GetApi	proc	_hModule,_lpszApi
	local	@dwReturn,@dwSize
	pushad
	
	call	@F
	@@:
	pop	ebx
	sub	ebx,@B
	
	assume	fs:nothing
	push	ebp
	push	[ebx+offset error]
	push	[ebx+offset _Handler]
	push	fs:[0]
	mov	fs:[0],esp
	
	mov	edi,_lpszApi
	mov	ecx,-1
	xor	eax,eax
	cld
	repnz	scasb
	sub	edi,_lpszApi
	mov	@dwSize,edi

	mov	esi,_hModule
	add	esi,[esi+3ch]
	assume	esi:ptr IMAGE_NT_HEADERS
	mov	esi,[esi].OptionalHeader.DataDirectory.VirtualAddress
	add	esi,_hModule
	assume	esi:ptr IMAGE_EXPORT_DIRECTORY

	mov	ebx,[esi].AddressOfNames
	add	ebx,_hModule
	xor	edx,edx
	.while  edx <	[esi].NumberOfNames
		push	esi
		mov	edi,[ebx]
		add	edi,_hModule
		mov	esi,_lpszApi
		mov	ecx,@dwSize
		cld
		repz	cmpsb
		.if	!ecx
			pop	esi
			jmp	@F
		.endif
		next:
		pop	esi
		inc	edx
		add	ebx,4
	.endw
	jmp	error
	@@:
	sub	ebx,[esi].AddressOfNames
	sub	ebx,_hModule
	shr	ebx,1
	add	ebx,[esi].AddressOfNameOrdinals
	add	ebx,_hModule
	movzx	eax,word ptr [ebx]
	shl	eax,2
	add	eax,[esi].AddressOfFunctions
	add	eax,_hModule

	mov	eax,[eax]
	add	eax,_hModule
	mov	@dwReturn,eax
	error:
	pop	fs:[0]
	add	esp,0ch
	assume	esi:nothing
	popad
	mov	eax,@dwReturn
	ret
_GetApi endp

start:
		mov	eax,[esp]
		invoke	_GetKernel32Base,eax
		.if	eax
			mov	dwKernel32Base,eax
			invoke	_GetApi,eax, offset szGetProcAddress
			mov	AGetProcAddress,eax
		.endif
		.if	AGetProcAddress
			push	offset szLoadLibrary
			push	dwKernel32Base
			call	AGetProcAddress
			.if	eax
				mov	ALoadLibrary,eax
				push	offset szUser32
				call	eax
				.if	eax
					push	offset szMessageBox
					push	eax
					call	AGetProcAddress
					.if	eax
						mov	AMessageBox,eax
					.endif
				.endif
			.endif
		.endif
		.if	AMessageBox
			push	MB_YESNO
			push	offset szCaption
			push	offset szText
			push	NULL
			call	AMessageBox
		.endif
		ret;invoke	ExitProcess,NULL
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		end	start

stackoverlow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态/静态库的动态加载和静态加载(Windows环境)
qq_34754747的博客
04-13 3547
所谓"程序库",简单说,就是包含了数据和执行码的文件。其不能单独执行,可以作为其它执行程序的一部分,来完成执行功能。库的存在,可以使得程序模块化,可以加快程序的再编译,可以实现代码重用,可以使得程序便于升级。程序库可分三类:静态库,共享库和动态加载库: 静态库,是在执行程序运行前就已经加入到执行码中,在物理上成为执行程序的一部分; 共享库,是在执行程序启动时加载到执行程序中,可以被多个执行程...
在C++中找到进程中所加载的某一模块的基地址
qq_35320456的博客
02-27 1015
在C++中找到进程中所加载的某一模块的基地址
动态加载技术
include的博客
04-16 4895
动态加载技术 动态加载技术可以让程序设计者脱离复杂的导入表结构,在程序空间中构造类似于导入表的调用引入函数机制。 Windows虚拟地址空间分配 在32位的机器上,地址空间从0x00000000~ 0xFFFFFFFF,总大小为4GB。一般而言,低地址空间,从0x00000000~ 0x7FFFFFFF使用户空间,高地址空间被分配给系统。 虚拟内存范围 功能 0x00000000 ......
Java中的动态加载详解
微赚开发者技术分享博客
07-05 493
今天我们将深入探讨Java中的动态加载,这是一种在运行时加载类文件的重要机制。动态加载通过反射和自定义类加载器机制,使得程序在运行时可以根据需要动态加载和使用类,提高了应用程序的灵活性和可维护性。Java中的动态加载能够使程序在运行过程中动态地装载、链接和初始化类,从而增强程序的灵活性和可扩展性。除了Java标准库提供的类加载器外,我们还可以自定义类加载器来实现更灵活的动态加载需求。在Java中,实现动态加载主要依赖于Java的反射机制和类加载器(ClassLoader)机制。
Windows模块加载基址与地址计算
lujun-cc的专栏
05-23 3644
<!-- @font-face {font-family:宋体} @font-face {font-family:"@宋体"} p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideog
延时加载DLL
Jokey_Chan 的博客
04-28 816
通常情况下应用程序 exe 文件与加载dll 会安装在同一个目录,想要延时加载 dll 只需要在 VS 属性页-》链接器-》输入-》延迟加载DLL 中填入想要加载DLL,在 属性页-》链接器-》高级-》卸载延迟加载DLL 改为 是 即可。 当应用程序和 DLL,不在同一个目录下时,程序只会在应用程序当前目录搜索 DLL, 此时将会加载失败。为了正确加载 DLL, 需要在程序中将 DLL 的安装目录设置进来。 在我的项目中,windows 系统会启动 AUDIODG.exe 的应用,这个文件在
延迟加载Dll的实现原理
青青子衿
01-01 4043
延迟加载Dll的实现原理一. 简介延迟加载Dll是一个混合方式,它通过LoadLirary和GetProcAddress获得延迟加载函数的地址,然后直接转向对延迟加载函数的调用。延迟加载不是操作系统的一个特征,它完全是通过链接器和运行库加入额外的代码和数据来实现的。同样地,无法在WINNT.H里找到关于延迟加载的更多参考,不过,可以在延迟装入数据(Delayload Data)和常
js实现延迟加载几种方法详解
10-17
动态创建`<script>`元素是一种更灵活的延迟加载方法,尤其适用于需要根据用户行为或某些条件加载脚本的情况。通过JavaScript动态创建`<script>`元素,然后设置其`src`属性为要加载的脚本URL,并将其插入DOM中,如...
js 动态加载事件的几种方法总结
10-26
本文将详细探讨几种在JavaScript中实现动态加载事件的方法,以及它们的浏览器兼容性和使用注意事项。 首先,我们可以使用`setAttribute`方法来设置元素的事件。例如: ```javascript var obj = document....
js实现延迟加载几种方法
10-19
JavaScript延迟加载(Lazy Loading)是一种优化网页性能的技术,它的核心思想是只在真正需要时才加载资源,以减少页面初始化时不必要的数据传输,提高页面的加载速度和用户体验。以下是介绍的三种JavaScript延迟加载...
动态加载js的方法汇总
10-24
本文汇总了动态加载JavaScript文件的几种常见方法,并对每种方法进行了详细介绍。 方法一:直接使用`document.write()`异步加载 `document.write()`方法可以直接将JavaScript代码或外部脚本标签插入到HTML文档中。...
Android插件化学习之路(一)之动态加载综述
老皮的博客
10-23 683
动态加载技术应由以下几个部分组成: 1) 应用在运行的时候通过加载一些本地不存在的可执行文件实现一些特定的功能;2) 这些可执行文件是可以替换的;3) 更换静态资源(比如换启动图、换主题、或者用。
Linux 驱动学习静态加载动态加载详解
weixin_40642038的博客
11-09 1538
1、静态加载动态加载静态加载:静态加载就是把驱动程序直接编译进内核,系统启动后可以直接调用。静态加载的缺点是调试起来比较麻烦,每次修改一个地方都要重新编译和下载内核,效率较低。若采用静态加载驱动较多,会导致内核容量很大,浪费存储空间;动态加载动态加载利用了Linux的module特性,可以在系统启动后用insmod命令添加模块(.ko),在不需要的时候用rmmod命令卸载模块,采用这种动态加载的方式便于驱动程序的调试,同时可以针对产品的功能需求,进行内核的裁剪,将不需要的驱动去除,大大减小了内核的存储
【胖虎的逆向之路】01——动态加载和类加载机制详解
无方少年游
01-06 1808
本文记录了类加载器和动态加载之间的关系和原理,由于作者能力有限,会尽力的详细讲解两者之间的关系,如本文中有任何错误,烦请指正,感谢~Android中的类加载器机制与JVM一样遵循双亲委派(双亲加载)模式
什么是动态加载、静态加载、同步加载、异步加载
MISSNext的博客
01-31 548
动态加载、静态加载、同步加载、异步加载的区别
获取DLL的基地址
IDoubleTong的博客
02-24 2665
(1)首先通过段选择器FS在内存中找到当前的线程环境块TEB。 (2)线程环境块中找到进程环境块PEB的指针。 (3)进程环境块中找到指向PEB_LDR_DATA结构体的指针,其中存放着已经被进程装载的动态链接库的信息。 (4)PEB_LDR_DATA结构体中找到指向模块信息LIST_ENTRY链表的头指针。 (5)遍历_LIST_ENTRY链表,找到想要获取DLL的基地址。 1.TEB &amp;nbs...
Android 动态加载
weixin_43858011的博客
06-02 2221
在程序运行的时候,加载一些程序自身不存在的可执行文件并运行这些文件里的代码逻辑。动态加载具有一下几个特点
c/c++中如何实现动态动态加载(含完整工程示例代码)
热门推荐
技术需要分享
09-22 1万+
本文将win、linux加载、卸载动态库,并从动态库链接模块中获取类实例或函数地址等封装成统一的API接口,并集成在dllLoad.h/dllLoad.cpp中实现。构建一个注册类RegisterM,内置一个map容器,用来装载加载动态库模块,并统一提供模块索引、及从模块中实现类实例获取、删除、函数地址获取等功能。 在动态库实现方面,提供一个虚拟元类MetaObject,然后在库的cpp文件中建立子类继承该类,实现其具体功能,并在cpp文件中直接提供函数API
ETL清洗技术几种技术
最新发布
08-22
ETL清洗技术主要指的是在数据抽取(Extract)、转换(Transform)、加载(Load)的过程中,对数据进行清洗的几种技术。数据清洗是确保数据质量的关键步骤,它包括对数据进行检查、更新、纠正或删除不完整、不准确或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值