Kernel32加载地址查找的基本方法

最新推荐文章于 2024-09-11 17:14:19 发布
最新推荐文章于 2024-09-11 17:14:19 发布
阅读量1.7k 收藏
点赞数
分类专栏: 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yo746862873/article/details/50509929
版权

搜索内存中的API有许多方法,主要的是要找到KERNEL32.DLL的加载地址,常用的基本方法也就几种。

1、暴力搜索KERNEL32.DLL,同时需要处理内存访问异常

2、通过线程初始化时压入堆栈的ExitThread的地址来得到KERNEL32.DLL的地址。

3、通过SEH异常链表(Windows Xp)

4、通过TEB得到PEB结构的地址,然后获得PEB_LDR_DATA的地址,然后遍历模块链表,得到KERNEL32.DLL的地址。

一、一般DLL加载的地址会在0x70000000到0x80000000之间所以我们可以直接搜索这段区域的内存,但是在这段区域中有些内存区域是访问异常的,所以会用到SEH异常处理的解决方法。(winxp 正常 ,win7 , win8 debug模式下正常,原因 win7下的SEH(结构化异常),解决办法 SEH和SafeSEH

typedef struct _EXCEPTION_INFO
{
	unsigned long Eip;
	unsigned long ExceptionCode;
}EXCEPTIONINFO, *PEXCEPTIONINFO;

typedef struct _EXCEPTION_TASK
{
	unsigned long	prev;//FS:[0]
	unsigned long	handler;
	PEXCEPTIONINFO	pExceptInfo;
}EXCEPTION_TASK, *PEXCEPTION_TASK;

EXCEPTION_DISPOSITION __cdecl ExceptionHandler(
struct _EXCEPTION_RECORD *ExceptionRecord,		// 异常发生时的异常码
	 void * EstablisherFrame,                    // 异常时的ESP值
	 struct _CONTEXT *ContextRecord ,            // 异常发生时的各个寄存器的值
	 void * DispatcherContext)
{
	
	PEXCEPTION_TASK pExceptTask = (PEXCEPTION_TASK)EstablisherFrame;			//堆栈的结构 与 ExceptionInfo结构相对应, 异常时的ESP	
	pExceptTask->pExceptInfo->ExceptionCode = ExceptionRecord->ExceptionCode;	 
	ContextRecord->Esp = (DWORD)EstablisherFrame;								 
	ContextRecord->Eip = pExceptTask->pExceptInfo->Eip;							 
	return ExceptionContinueExecution;											
}

BOOL IsReadable(DWORD dwModuleBase)
{
	EXCEPTIONINFO ExceptionInfo = { 0 };
	ExceptionInfo.ExceptionCode = -1;

	 DWORD	pExceptionEip = (DWORD)&ExceptionInfo.Eip;
	
	/*
	在堆栈中构造EXCEPTION_TASK结构,通过异常传递ESP指针,
	可以访问其他函数的局部变量
	*/
	__asm
	{
		pushad
		mov		eax,	 pExceptionEip
		lea		ebx,	ErrRetAddr
		mov		dword ptr[eax],	  ebx					//给Eip赋出异常时的返回值
		lea		eax,	 ExceptionInfo					
		push	eax										
		push	ExceptionHandler						//异常回调函数
		push	dword ptr fs:[0]						//上一个异常链表头指针
		mov		fs:[0],	 esp						//安装异常处理例程
		//测试基址处的内存是否可读,异常发生处
		mov esi, dwModuleBase
		mov ecx, 10
		rep lodsb		
ErrRetAddr:
		pop		dword ptr fs:[0]						//卸载已经安装的异常处理例程
		pop		eax								//add  esp, 8		平衡堆栈
		pop		eax
		popad
	}

	if (-1 == ExceptionInfo.ExceptionCode)
	{
		return TRUE;//未出现异常
	}
	else
	{
		return FALSE;//出现异常
	}
}

BOOL IsDLL(DWORD dwModuleBase)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)dwModuleBase;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	if ((pDosHeader->e_magic == IMAGE_DOS_SIGNATURE) && (pNtHeader->Signature == IMAGE_NT_SIGNATURE))
	{
		if (pNtHeader->FileHeader.Characteristics & 0x2000)//DLL文件特点
		{
			return TRUE;
		}
	}
	return FALSE;
}
//暴力搜索KERNEL32.DLL ---- API
DWORD searchApi()
{
	int i = 0;
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS pNtHeader;
	PIMAGE_EXPORT_DIRECTORY pExprotDirectory;
	DWORD dwModuleBase = 0x7FFF0000;

	while (dwModuleBase >= 0x70000000)
	{
		//判断内存是否可以读写 并处理读写产生的异常
		if (!IsReadable(dwModuleBase))
		{
			dwModuleBase -= 0x10000;
			continue;
		}

		//判断是否是dll文件
		if (!IsDLL(dwModuleBase))
		{
			dwModuleBase -= 0x10000;
			continue;
		}
		pDosHeader = (PIMAGE_DOS_HEADER)dwModuleBase;
		pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
		// 3查找Kernel32.DLL地址		
		if ((pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size) &&\
			(pNtHeader)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
		{

			pExprotDirectory = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHeader +\
				pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
			char *szDllName = (char*)((DWORD)pDosHeader + pExprotDirectory->Name);
			
			if (0 == _strcmpi(szDllName, "Kernel32.dll"))
			{
				//printf("%s\n", szDllName);
				return dwModuleBase;
			}
		}
		dwModuleBase -= 0x10000;
	}

}


二、线程被初始化时ExitThread被压人堆栈,以便线程通过ret返回时可以执行ExitThread退出线程。而ExitThread是从KERNEL32.DLL中导出的。

dwKernel32Base   dw   0
        mov edi, [esp]		                                        ; edi = 堆栈顶
	and edi, 0ffff0000h					        ; 用 AND 获得初始页
	.while TRUE
		.if word ptr [edi] == IMAGE_DOS_SIGNATURE		; 等于“MZ”吗?
			mov esi, edi								; Yes, next...
			add esi, [esi + IMAGE_DOS_HEADER.e_lfanew]	; 就是 esi + 3ch
			.if word ptr [esi] == IMAGE_NT_SIGNATURE	; 等于“PE”吗?
				mov dwKernel32Base, edi						; Yes, we got it.
				.break
			.endif
		.endif
		;以下等同于sub edi, 010000h,即每次减少64k:
		dec edi
		xor di, di
		.break	.if edi < 070000000h	; 基地址一般不可能小于70000000h
	.endw
 

 

三、遍历SEH异常链表,获得EXCEPTION_REGISTRATION结构prev为-1的异常处理过程地址,这个异常处理过程地址是位于kernel32.dll,通过它搜索得到kernel32.dll的基地址。我们都知道[fs:0]的ExceptionList 指向EXCEPTION_REGISTRATION结构,所以通过[fs:0]获得EXCEPTION_REGISTRATION结构后,判断prev成员是否是-1,如果是的话则取异常处理过程地址,然后进行搜索。此方法在Windows 7、Windows8  下查找到的是ntdll.dll,而不再是KERNEL32.DLL
 

 

struct EXCEPTION_REGISTRATION
      prev          dd         ? 
      handler     dd         ? 
ends
 

 

#include "windows.h"
unsigned  int  GetKernelBase()
{
	struct EXCEPTION_REGISTRATION
	{
		unsigned int prev;
		unsigned int handler;
	};
	unsigned int Exception;
	__asm
	{
			push eax
			mov  eax, dword ptr fs:[0]
			mov  Exception, eax
			pop  eax
	}
	EXCEPTION_REGISTRATION *pExceptioRegist = (EXCEPTION_REGISTRATION*)Exception;
	while(-1 != pExceptioRegist->prev)
	{
		pExceptioRegist = (EXCEPTION_REGISTRATION*)pExceptioRegist->prev;
	}
	unsigned handler = pExceptioRegist->handler;
	unsigned kernelBase = handler & 0xFFFF0000;
	PIMAGE_DOS_HEADER pDosHeader = 0;
	PIMAGE_NT_HEADERS pNtHeader = 0;
	while(1)
	{
		pDosHeader = (PIMAGE_DOS_HEADER)kernelBase;
		pNtHeader = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + (unsigned)pDosHeader);
		if (IMAGE_DOS_SIGNATURE == pDosHeader->e_magic && IMAGE_NT_SIGNATURE == pNtHeader->Signature) break;
		kernelBase -= 0x10000;
	}
	return kernelBase;
}
 

 


 
 四、通过TEB获得PEB结构的地址,TEB是线程环境块(Thread Environment Block)结构, 我们的fs段选择子所对应的段指向TEB,也就是fs:0(注意这里可不是“[fs:0]”)指向TEB.那么TEB的ProcessEnvironmentBlock结构成员指向我们的PEB进程环境块结构(Process Environment Block),然后通过PEB结构来获得PEB_LDR_DATA。 

通过Windbg的dt命令查看TEB的结构
 

 

nt!_TEB 
	+0x000 NtTib : _NT_TIB 
	+0x01c EnvironmentPointer : Ptr32 Void 
	+0x020 ClientId : _CLIENT_ID 
	+0x028 ActiveRpcHandle : Ptr32 Void 
	+0x02c ThreadLocalStoragePointer : Ptr32 Void 
	+0x030 ProcessEnvironmentBlock : Ptr32 _PEB
TEB结构的0x30偏移处存储的我们的PEB结构的地址,PEB结构如下: 

 

 

nt!_PEB 
	+0x000 InheritedAddressSpace : UChar 
	+0x001 ReadImageFileExecOptions : UChar 
	+0x002 BeingDebugged : UChar 
	+0x003 SpareBool : UChar 
	+0x004 Mutant : Ptr32 Void 
	+0x008 ImageBaseAddress : Ptr32 Void 
	+0x00c Ldr : Ptr32 _PEB_LDR_DATA
 

 
 
 
  
 
   
 
   
struct _LIST_ENTRY
prev          dd     ?
handler     dd     ?
 
   
 
   
 
   
 
  
 
 
 用Windbg查看: 
 
 
 
nt!_PEB_LDR_DATA
	+0x000 Length : Uint4B 
	+0x004 Initialized : UChar 
	+0x008 SsHandle : Ptr32 Void 
	+0x00c InLoadOrderModuleList : _LIST_ENTRY 
	+0x014 InMemoryOrderModuleList : _LIST_ENTRY 
	+0x01c InInitializationOrderModuleList : _LIST_ENTRY
	+0x024 EntryInProgress : Ptr32 Void
 
 
 我们看到这个结构中的模块立标有3个_LIST_ENTRY结构,它们分别是 
 
 
 
 InLoadOrderModuleList (加载顺序模块列表) 
 
 
InMemoryOrderModuleList(内存顺序模块排列) 
 
 
InInitializationOrderModuleList(初始化顺序模块列表)。
 
 
并且这三个链表的结点是均是指向LDR_MODULE.
 
 
 
 
 
typedef struct _LDR_MODULE {
	LIST_ENTRY InLoadOrderModuleList; // +0x00 
	LIST_ENTRY InMemoryOrderModuleList; // +0x08 
	LIST_ENTRY InInitializationOrderModuleList; // +0x10 
	PVOID BaseAddress; // +0x18 
	PVOID EntryPoint; // +0x1c 
	ULONG SizeOfImage; // +0x20 
	UNICODE_STRING FullDllName; // +0x24 
	UNICODE_STRING BaseDllName; // +0x2c
	.....
}LDR_MODULE, *PLDR_MODULE;
 
 
 我们一般取它的初始化顺序结构(InInitializationOrderModuleList)的Flink成员指向的_LDR_MODULE结构的BaseAddress成员则为我们需要的基地址,Window Xp 及以前的系统第二个为KERNEL32.DLL,从Windows 7开始第三个链表为KERNEL32.DLL。 
 
 
 
在Win8下:
 
 
 
 
unsigned KernelBase;
	__asm
	{
		push eax
		mov eax, fs:[30h] ;Get Peb 
		mov eax, [eax+0ch] ;Get _PEB_LDR_DATA 
		mov eax, [eax+1ch];
		mov eax, [eax] 
		mov eax, [eax] 
		mov eax, [eax+8] ;
		mov KernelBase, eax
			pop eax
	}
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 


                

        

        

    

  


    

      

        

            

              
                
                  灬鬼谷灬
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
动态获取Kernel32的函数地址

				
			

			

				

					做一个快乐学习者
				

				

					05-04
					
					1117
					
				

			

		

		

			
				
VOID ShowDll()
{
	//Kernel32.dll基址
	DWORD dwBase;

	//Dos指针
	PIMAGE_DOS_HEADER pDos = NULL;

	//Nt指针
	PIMAGE_NT_HEADERS pNt = NULL;

	//导出表指针
	PIMAGE_EXPORT_DIRECTORY pExport = NULL;

	//EAT
	PDWORD ...

			
		

	



                

              
                



	

		

			

				
					
获取kernel32基址的另两种方法

				
			

			

				

					
				

				

					08-14
					
					1983
					
				

			

		

		

			
				
病毒运行时可能会用到某些API,但如果导入表中没有的话,病毒的可移植性就不能保证。已经知道ntdll.dllkernel32.dll是每个进程都需要加载的,如果知道了kernel32在进程中的地址,就能到LoadLibrary和GetProcAddress从而加载其他dll文件并调用里面的API。以前学到过利用PEB结构来获得kernel32在进程中的基址其实还有两种常用的方法

			
		

	



                


  
              

                


	

		

			

				
					
Windows x86 Shellcode开发:寻Kernel32.dll地址

				
			

			

				

					systemino的博客
				

				

					04-24
					
					791
					
				

			

		

		

			
				
前言

针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版本相比已...

			
		

	





	

		

			

				
					
Windows操作系统kernel32.dll缺失?kernel32.dll如何解决?修复dll文件缺失问题分享

					
最新发布

				
			

			

				

					Latered的博客
				

				

					09-11
					
					982
					
				

			

		

		

			
				
,使用dll修复工具进行修复操作非常简单,它可以自动检测电脑缺失或者损坏的dll文件,如果kernel32.dll缺失,dll修复工具检测到以后,便会自动安装kernel32.dll文件。kernel32.dll是Windows操作系统中的一个核心动态链接库文件,它包含了许多重要的函数和服务,用于支持各种应用程序和系统的正常运行。2. 应用程序无法启动:许多应用程序依赖于kernel32.dll提供的函数和服务,当kernel32.dll丢失时,这些应用程序可能无法正常启动。

			
		

	



		

			
		



	

		

			

				
					
KERNEL32 API函数

				
			

			

				

					12-16
				

			

		

		

			
				
一个非常全的KERNEL32[1].DLL API函数库文档。

			
		

	





	

		

			

				
					
python内存地址的值_Python - 如何获取内存地址的值?

				
			

			

				

					weixin_39926613的博客
				

				

					11-29
					
					1485
					
				

			

		

		

			
				
这是WinAPI ReadProcessMemory的ctypes包装。它以字节为单位读取进程ID,基址和大小。它返回从目标进程读取的字节串。如果allow_partial为false,则整个地址范围必须可读,否则将失败,并显示Windows错误代码ERROR_PARTIAL_COPY。如果allow_partial为真,则返回的字节字符串可能少于请求的字节数。ctypes的定义import ct...

			
		

	





	

		

			

				
					
查找kernel32.dll地址 特征函数

				
			

			

				

					x
				

				

					08-09
					
					444
					
				

			

		

		

			
				
从用户层高地址往下地址:7ffe0000h (用户层可读的最高地址,之后的地址拒绝访问)

一直扫描到最后一块64k起始页面为止, 因此结束地址9999h



每个pe模块都会加载在64k边界的地址上, 因此每次减64k(10000h)

代码中增加了自己修复的重定位信息, 和异常处理;

***** 不要运行在调试环境中 , 否则异常首先被送到debug中



流程:

1.每次在64k的边界上查看是否是一个pe

2.如果是,则到导出表,如果有导出表,根据名字GetProcAddres..

			
		

	





	

		

			

				
					
20201124__KERNEL32.DLL.v3.zip

				
			

			

				

					12-01
				

			

		

		

			
				
3. **文件操作**:KERNEL32.DLL提供了处理文件和目录的基本接口。 `_file.c` 可能包含了打开、关闭、读取、写入文件等关键操作的实现。  4. **系统初始化和基址设置**:`baseinit.c` 可能包含了操作系统启动时的一些...

			
		

	





	

		

			

				
					
搜索KERNEL32.DLL得到API地址

				
			

			

				

					01-13
				

			

		

		

			
				
当我们需要在程序中调用这些功能时,通常需要获取到KERNEL32.DLL中特定API(Application Programming Interface)的地址。下面将详细解释如何进行这个过程。  首先,API地址获取的基本原理是通过Windows API函数...

			
		

	





	

		

			

				
					
动态获取kernel32.dll函数

				
			

			

				

					01-04
				

			

		

		

			
				
在这个例子中,我们首先使用LoadLibrary加载kernel32.dll,然后通过GetProcAddress获取`WriteConsoleA`函数的地址。最后,我们通过函数指针调用`WriteConsoleA`来输出文本到控制台。这种方式的程序在静态分析时不会...

			
		

	





	

		

			

				
					
探索软件安全:API函数地址搜索与kernel32.dll动态链接库实践

				
			

			

				

					
				

			

		

		

			
				
在这个电子科技大学的软件安全搜索API实验中,主要目标是让学生深入理解API函数搜索的原理,并掌握在Windows系统中寻特定API函数地址kernel32.dll、LoadLibrary和GetProcAddress的方法。实验分为两个部分:  一...

			
		

	





	

		

			

				
					
获取kernel32.dll基址

				
			

			

				

					bcbobo21cn的专栏
				

				

					01-03
					
					5687
					
				

			

		

		

			
				
获取kernel32.dll基址


一 原理和概述


kernel32地址方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。


暴力搜索法是最早的动态查找kernel32地址方法。它的原理是: 几乎所有的win32可执行文件(pe格


式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是


Ker

			
		

	





	

		

			

				
					
kernel32.dll加载不到入口点_买VR眼镜后去哪资源?

				
			

			

				

					weixin_39664746的博客
				

				

					11-12
					
					1168
					
				

			

		

		

			
				
所谓工欲善其事必先利其器,我们买VR眼镜的目的是为了看VR电影那么买之前最好先了解下,哪有VR资源。我先分享下我到的资源。没有VR眼镜的可以去某宝搜索我的小店,原厂正品直发哦。 首页-张好游的VR店-淘宝网首先是 暴风魔镜APP这是暴风官网的介绍。作为第一家宣传做VR眼镜和VR资源的上市公司,暴风魔镜APP的特点就是界面多,很多很多的界面,每个界面里很多分类,所以第一次看的时候就是晕。这里建议直...

			
		

	





	

		

			

				
					
kernel32.dll加载不到入口点_关键词分析法和工具,关键词分析包括哪几个方面(已帮助1376人)...

				
			

			

				

					weixin_39801613的博客
				

				

					11-10
					
					461
					
				

			

		

		

			
				
内容导读关键词分析是极其重要的环节,如果关键词分析做好了,优化工作就能事半功倍。大家在做关键词分析的时候,可以参考本文提到的这些方面,应该能够得到很多有用的启示和指导。做网站优化或者是百度竞价等,分析关键词都是很重要的,如果选择的关键词不对,那么再多的努力最终的效果也不会很好。本文就重点给大家介绍下关键词分析法有哪些,关键词分析有哪些好的工具,以及关键词分析包括哪几个方面。大家可以通过本文的讲解,...

			
		

	





	

		

			

				
					
获取Kernel32地址的几种方法-相关结构

				
			

			

				

					wowolook的专栏
				

				

					04-01
					
					4704
					
				

			

		

		

			
				
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息
_PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY
二、技术原理
1、通过fs:[30h]获取当前进程的_PEB结构
2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构
3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值