定位kernel32.dll

最新推荐文章于 2023-12-26 10:19:54 发布
最新推荐文章于 2023-12-26 10:19:54 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airuozhaoyang/article/details/50658552
版权

此方法是通过TEB获得PEB结构地址,然后再获得PEB_LDR_DATA结构地址,然后遍历模块列表,查找kernel32.dll模块的基地址。

windbg启动目标程序

0:000> !teb
TEB at 7ffdf000
    ExceptionList:        0012fb40
    StackBase:            00130000
    StackLimit:           0012e000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7ffdf000
    EnvironmentPointer:   00000000
    ClientId:             0000120c . 0000171c
    RpcHandle:            00000000
    Tls Storage:          7ffdf02c
    PEB Address:          7ffd8000
    LastErrorValue:       0
    LastStatusValue:      0
    Count Owned Locks:    0
    HardErrorMode:        0

0:000> r fs
fs=0000003b

0:000> dg fs
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffdf000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3

TEB是线程环境块(Thread Environment Block)结构, 我们的fs段选择子所对应的段指向TEB,也就是fs:[0]指向TEB
0:000> dt _teb
ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB
   +0x034 LastErrorValue   : Uint4B
   +0x038 CountOfOwnedCriticalSections : Uint4B
   +0x03c CsrClientThread  : Ptr32 Void

teb的0x30指向的是peb的地址

0:000> !peb
PEB at 7ffd8000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         00400000
    Ldr                       778b8880
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 00162160 . 00162488
    Ldr.InLoadOrderModuleList:           001620c0 . 00162590
    Ldr.InMemoryOrderModuleList:         001620c8 . 00162598
            Base TimeStamp                     Module
          400000 46ecc8b0 Sep 16 14:09:52 2007 C:\Users\Administrator\Desktop\2_4_overflow_code_exec\Debug\stack_overflow_exec.exe
        777e0000 5609fdaf Sep 29 10:55:43 2015 C:\windows\SYSTEM32\ntdll.dll
        76ec0000 554d7aff May 09 11:11:59 2015 C:\windows\system32\kernel32.dll
        75bd0000 554d7b00 May 09 11:12:00 2015 C:\windows\system32\KERNELBASE.dll
    SubSystemData:     00000000
    ProcessHeap:       00160000
    ProcessParameters: 00161610
    CurrentDirectory:  'C:\Program Files\Debugging Tools for Windows (x86)\'
    WindowTitle:  'C:\Users\Administrator\Desktop\2_4_overflow_code_exec\Debug\stack_overflow_exec.exe'
    ImageFile:    'C:\Users\Administrator\Desktop\2_4_overflow_code_exec\Debug\stack_overflow_exec.exe'
    CommandLine:  'C:\Users\Administrator\Desktop\2_4_overflow_code_exec\Debug\stack_overflow_exec.exe'
    DllPath:      'C:\Users\Administrator\Desktop\2_4_overflow_code_exec\Debug;;C:\windows\system32;C:\windows\system;C:\windows;.;C:\Program Files\Debugging Tools for Windows (x86)\winext\arcade;C:\Python27;C:\Python27\Scripts;C:\windows\system32;C:\windows;C:\windows\System32\Wbem;C:\windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\'
    Environment:  00160810
        #envTSLOGRBCShellExt792=10479480
        #envTSLOGsss792=10551744
        #envTSLOGTSLOG792=10480080
        #envTSLOGXMediaLibrary792=76318048
        =::=::\
        ALLUSERSPROFILE=C:\ProgramData
        APPDATA=C:\Users\Administrator\AppData\Roaming
        CommonProgramFiles=C:\Program Files\Common Files
        COMPUTERNAME=WINZQ-20130806T
        ComSpec=C:\windows\system32\cmd.exe
        DEVMGR_SHOW_DETAILS=1
        FP_NO_HOST_CHECK=NO
        HOMEDRIVE=C:
        HOMEPATH=\Users\Administrator
        LOCALAPPDATA=C:\Users\Administrator\AppData\Local
        LOGONSERVER=\\WINZQ-20130806T
        MOZ_PLUGIN_PATH=C:\Program Files\Foxit Software\Foxit Reader\plugins\
        NUMBER_OF_PROCESSORS=4
        OS=Windows_NT
        Path=C:\Program Files\Debugging Tools for Windows (x86)\winext\arcade;C:\Python27;C:\Python27\Scripts;C:\windows\system32;C:\windows;C:\windows\System32\Wbem;C:\windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\
        PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
        PROCESSOR_ARCHITECTURE=x86
        PROCESSOR_IDENTIFIER=x86 Family 6 Model 58 Stepping 9, GenuineIntel
        PROCESSOR_LEVEL=6
        PROCESSOR_REVISION=3a09
        ProgramData=C:\ProgramData
        ProgramFiles=C:\Program Files
        PSModulePath=C:\windows\system32\WindowsPowerShell\v1.0\Modules\
        PUBLIC=C:\Users\Public
        SESSIONNAME=Console
        ShellLaunch{A81BA54B-CCFE-4204-8E79-A68C0FDFA5CF}=ShellExt
        SystemDrive=C:
        SystemRoot=C:\windows
        TEMP=C:\Users\ADMINI~1\AppData\Local\Temp
        TMP=C:\Users\ADMINI~1\AppData\Local\Temp
        USERDOMAIN=WINZQ-20130806T
        USERNAME=Administrator
        USERPROFILE=C:\Users\Administrator
        VS100COMNTOOLS=D:\Program Files\Microsoft Visual Studio 10.0\Common7\Tools\
        WINDBG_DIR=C:\Program Files\Debugging Tools for Windows (x86)
        windir=C:\windows
        windows_tracing_flags=3
        windows_tracing_logfile=C:\BVTBin\Tests\installpackage\csilogfile.log
0:000> dt _peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 BitField         : UChar
   +0x003 ImageUsesLargePages : Pos 0, 1 Bit
   +0x003 IsProtectedProcess : Pos 1, 1 Bit
   +0x003 IsLegacyProcess  : Pos 2, 1 Bit
   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
   +0x003 SpareBits        : Pos 5, 3 Bits
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : Ptr32 Void
   +0x018 ProcessHeap      : Ptr32 Void
   +0x01c FastPebLock      : Ptr32 _RTL_CRITICAL_SECTION
   +0x020 AtlThunkSListPtr : Ptr32 Void
   +0x024 IFEOKey          : Ptr32 Void
   +0x028 CrossProcessFlags : Uint4B
   +0x028 ProcessInJob     : Pos 0, 1 Bit
   +0x028 ProcessInitializing : Pos 1, 1 Bit
   +0x028 ProcessUsingVEH  : Pos 2, 1 Bit
   +0x028 ProcessUsingVCH  : Pos 3, 1 Bit
   +0x028 ProcessUsingFTH  : Pos 4, 1 Bit
   +0x028 ReservedBits0    : Pos 5, 27 Bits
   +0x02c KernelCallbackTable : Ptr32 Void
   +0x02c UserSharedInfoPtr : Ptr32 Void
   +0x030 SystemReserved   : [1] Uint4B
   +0x034 AtlThunkSListPtr32 : Uint4B
   +0x038 ApiSetMap        : Ptr32 Void
   +0x03c TlsExpansionCounter : Uint4B
   +0x040 TlsBitmap        : Ptr32 Void
   +0x044 TlsBitmapBits    : [2] Uint4B
   +0x04c ReadOnlySharedMemoryBase : Ptr32 Void
   +0x050 HotpatchInformation : Ptr32 Void
   +0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void
   +0x058 AnsiCodePageData : Ptr32 Void
   +0x05c OemCodePageData  : Ptr32 Void
   +0x060 UnicodeCaseTableData : Ptr32 Void
   +0x064 NumberOfProcessors : Uint4B
   +0x068 NtGlobalFlag     : Uint4B
   +0x070 CriticalSectionTimeout : _LARGE_INTEGER
   +0x078 HeapSegmentReserve : Uint4B
   +0x07c HeapSegmentCommit : Uint4B
   +0x080 HeapDeCommitTotalFreeThreshold : Uint4B
   +0x084 HeapDeCommitFreeBlockThreshold : Uint4B
   +0x088 NumberOfHeaps    : Uint4B
   +0x08c MaximumNumberOfHeaps : Uint4B
   +0x090 ProcessHeaps     : Ptr32 Ptr32 Void
   +0x094 GdiSharedHandleTable : Ptr32 Void
   +0x098 ProcessStarterHelper : Ptr32 Void
   +0x09c GdiDCAttributeList : Uint4B
   +0x0a0 LoaderLock       : Ptr32 _RTL_CRITICAL_SECTION
   +0x0a4 OSMajorVersion   : Uint4B
   +0x0a8 OSMinorVersion   : Uint4B
   +0x0ac OSBuildNumber    : Uint2B
   +0x0ae OSCSDVersion     : Uint2B
   +0x0b0 OSPlatformId     : Uint4B
   +0x0b4 ImageSubsystem   : Uint4B
   +0x0b8 ImageSubsystemMajorVersion : Uint4B
   +0x0bc ImageSubsystemMinorVersion : Uint4B
   +0x0c0 ActiveProcessAffinityMask : Uint4B
   +0x0c4 GdiHandleBuffer  : [34] Uint4B
   +0x14c PostProcessInitRoutine : Ptr32     void 
   +0x150 TlsExpansionBitmap : Ptr32 Void
   +0x154 TlsExpansionBitmapBits : [32] Uint4B
   +0x1d4 SessionId        : Uint4B
   +0x1d8 AppCompatFlags   : _ULARGE_INTEGER
   +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER
   +0x1e8 pShimData        : Ptr32 Void
   +0x1ec AppCompatInfo    : Ptr32 Void
   +0x1f0 CSDVersion       : _UNICODE_STRING
   +0x1f8 ActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA
   +0x1fc ProcessAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP
   +0x200 SystemDefaultActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA
   +0x204 SystemAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP
   +0x208 MinimumStackCommit : Uint4B
   +0x20c FlsCallback      : Ptr32 _FLS_CALLBACK_INFO
   +0x210 FlsListHead      : _LIST_ENTRY
   +0x218 FlsBitmap        : Ptr32 Void
   +0x21c FlsBitmapBits    : [4] Uint4B
   +0x22c FlsHighIndex     : Uint4B
   +0x230 WerRegistrationData : Ptr32 Void
   +0x234 WerShipAssertPtr : Ptr32 Void
   +0x238 pContextData     : Ptr32 Void
   +0x23c pImageHeaderHash : Ptr32 Void
   +0x240 TracingFlags     : Uint4B
   +0x240 HeapTracingEnabled : Pos 0, 1 Bit
   +0x240 CritSecTracingEnabled : Pos 1, 1 Bit
   +0x240 SpareTracingBits : Pos 2, 30 Bits

通过PEB结构来获得PEB_LDR_DATA
peb的
+0x00c Ldr : Ptr32 _PEB_LDR_DATA
得到
Ldr 778b8880

0:000> dt _PEB_LDR_DATA
ntdll!_PEB_LDR_DATA
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 Void
   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY
   +0x024 EntryInProgress  : Ptr32 Void
   +0x028 ShutdownInProgress : UChar
   +0x02c ShutdownThreadId : Ptr32 Void

我们看到这个结构中的模块立标有3个_LIST_ENTRY结构,它们分别是
InLoadOrderModuleList (加载顺序模块列表)
InMemoryOrderModuleList(内存顺序模块排列)
InInitializationOrderModuleList(初始化顺序模块列表)

0:000> dt _LIST_ENTRY
ntdll!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY
   +0x004 Blink            : Ptr32 _LIST_ENTRY

我们一般取它的初始化顺序结构(InInitializationOrderModuleList)的Flink成员指向的_LDR_MODULE结构的BaseAddress成员则为我们需要的基地址,当然由于第一个是
ntdll,所以取第二个则为我们的Kernel32.dll。

定位kernel32的方法如下

            xor edx,edx


        ; find base addr of kernel32.dll 
            mov ebx, fs:[edx + 0x30]    ; ebx = address of PEB 
            mov ecx, [ebx + 0x0c]       ; ecx = pointer to loader data 
            mov ecx, [ecx + 0x1c]       ; ecx = first entry in initialisation order list 
            mov ecx, [ecx]              ; ecx = second entry in list (kernel32.dll)
            ;mov ecx.[ecx] 
            mov ebp, [ecx + 0x08]       ; ebp = base address of kernel32.dll
朝向高处的旅途
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api-ms-win-downlevel-kernel32-l2-1-0.dll
03-13
将下载完的System32/api-ms-win-downlevel-kernel32-l2-1-0.dll 以及SysWOW64/api-ms-win-downlevel-kernel32-l2-1-0.dll解压到c:/Windows下
无法定位程序输入点kernel32.dll,如何修复kernel32.dll
电脑修复君的博客
02-28 3万+
kernel32.dll是Windows操作系统中非常重要的一个系统文件,如果它丢失或损坏可能会导致许多应用程序无法正常运行。今天小编就来给大家详细的讲解一下无法定位程序输入点kernel32.dll,我们要怎么修复这个kernel32.dll缺失的问题。
三种kernel32.dll动态链接库报错解决方法,如何修复kernel32.dll文件
szcsd123456789的博客
08-28 1万+
kernel32.dll动态链接库报错是因为电脑系统里的kernel32.dll文件被破坏了或者是文件被丢失,这种报错在电脑中经常会出现,所以今天给大家介绍三种kernel32.dll动态链接库报错解决方法,希望能够帮助到大家。先来了解一下为什么会出现kernel32.dll错误。
kernel32.dll动态链接库报错解决方法,详细解析kernel32.dll文件修复
电脑修复君的博客
12-14 4675
在使用计算机过程中,你可能会遇到各种各样的错误消息。其中一个常见的错误是“找不到kernel32.dll”或类似的错误。这个错误消息通常会出现在运行某些程序时,可能会导致程序无法正常工作,甚至无法启动。那么,kernel32.dll到底是什么文件?为什么会出现找不到的情况呢?本文将详细介绍kernel32.dll的作用以及多种解决这个问题的方法。
kernel32.dll如何下载】kernel32.dll如何修复
weixin_44924153的博客
03-13 1万+
遇到因为kernel32.dll文件丢失而无法正常运行软件或游戏程序的朋友们不用着急了,根据小编整理的这篇教程文章,将dll文件放在操作系统“system32”文件夹的合适位置,便能解决这一问题。缺少哪一项dll,在运行软件时都将有窗口提醒,只需下载指定的dll文件即可。值得注意的是此类文件的丢失有时候和杀毒软件的误报毒有关,所以在使用杀毒软件时,如果提示kernel32.dll文件将被清除,还请阻止。以免下一次又弹出dll文件丢失窗口。 kernel32.dll如何修复 1、先下载kernel32.d
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
利用 PEB 结构来查找 kernel32.dll 的原理:FS 段寄存器作为选择子指向当前的 TEB 结构,在位于 PEB_LDR_DATA 结构偏移 0x1
删除系统kernel32.dll文件导致电脑无法开机
03-11
记录一次客户服务武器操作失误,客户线上服务器系统是Windows server enterprise 2007(32位),不兼容视频插件Ffmpeg插件,修改系统文件C:\Windows\System32\kernel32.dllkernel32_1.dll文件名称后,服务器重启未...
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll实现无导入表的hello world
Windows6.1-KB2533623-x64.rar
09-07
无法定位程序输入点AddDllDirectory于动态链接库KERNEL32.dll_KB2533623-x64
在XP系统上出现无法定位程序输入点 K32GetProcessMemoryInfo的解决方案
09-30
VC2012升级补丁5.0之后,编译出来的程序发现在XP系统无法定位程序输入点 K32GetProcessMemoryInfo于动态链接库kernel32.dll之上。经过一番折腾,此问题解决,下面把我的解决方案总结分享给大家
kernel32.dll如何解决,教你如何快速修复kernel32.dll文件缺失问题
a555333820的博客
12-12 2937
本文将介绍kernel32.dll动态链接库报错的五种解决方法,并探讨kernel32.dll丢失对电脑的影响以及其作用的介绍。我们可以下载一个dll修复工具,使用dll修复工具进行修复操作非常简单(亲测可以修复),它可以自动检测电脑缺失或者损坏的dll文件,如果kernel32.dll缺失,dll修复工具检测到以后,便会自动安装kernel32.dll文件。kernel32.dll是Windows操作系统中的一个核心动态链接库文件,它包含了许多重要的函数和服务,用于支持各种应用程序和系统的正常运行。
kernel32.dll 是什么库
weixin_35754676的博客
12-29 1198
kernel32.dll 是 Windows 操作系统中的一个动态链接库 (DLL)。它包含了许多系统功能的实现,包括文件系统、内存管理、进程控制和其他重要的操作系统服务。在 Windows 中,许多应用程序都会使用 kernel32.dll 提供的功能。 注意:kernel32.dll 不是纯粹的用户程序库,而是系统动态链接库,它是操作系统的一部分,并且无法直接编辑或修改。 ...
对StackOverFlow.exe的逆向与栈溢出实验报告
EloflyS的博客
04-04 608
逆向工程第一次作业 对StackOverFlow.exe的逆向与栈溢出渗透实验报告 一、StackOverFlow.exe简述 StackOverFlow.exe程序为用户提供了一个可以向内存键入数据的端口,本身是一个检验输入的数据与默认的数据是否一致的检测数据的程序,可是由于键入数据的过程中程序并没有检测键入的字符串的长度,导致用户可以通过输入超出规定范围的字符串来恶意覆盖内存中的一些数据,导致出现安全问题 下面是这个程序的C语言源代码 #include<stdio,h> #include&l
电脑提示“kernel32.dll”文件丢失,程序无法运行,解决方法
最新发布
m0_70112216的博客
12-26 950
很多小伙伴留言说,自己的电脑启动有些软件或游戏的时候,会弹出提示“”文件缺失,软件或游戏无法正常启动,需要重新安装,不知道应该怎么办?
kernel32.dll如何修复,快速解决kernel32.dll缺失的方法
电脑修复君的博客
07-31 3571
Kernel32.dll是Windows操作系统中一个重要的系统文件,对于系统的正常运行至关重要。然而,由于各种原因,用户可能会遇到kernel32.dll文件的缺失问题。今天小编就来给大家详细的介绍一下kernel32.dll这个文件,并且详细的介绍一下kernel32.dll如何修复。
kernel32.dll是什么 ,分享一些解决kernel32.dll丢失的修复方法
szcsd123456789的博客
11-10 614
kernel32.dll丢失?电脑突然出现这样的弹窗错误是为什么?那么kernel32.dll是什么的东西呢?今天就带大家了解小编对于kernel32.dll的理解和作用,同时在给小伙伴们分享一些解决kernel32.dll丢失的修复方法。
如何解决电脑中缺失kernel32.dll文件的问题,四种常见的解决方法
szcsd123456789的博客
10-26 1221
在使用电脑过程中,有时我们可能会遇到一些错误提示,例如“找不到或缺少kernel32.dll文件”。遇到这种情况下,我们可以采取哪些措施来解决这个问题呢?本文将介绍关于kernel32.dll文件的作用,并提供四种常见的解决方法。.
Windows系统缺失api-ms-win-core-file-l2-1-0.dll文件的完美解决办法
amio555的专栏
06-21 1958
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个api-ms-win-core-file-l2-1-0.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
epic关于win7报错缺失api-ms-win-downlevel-kernel32-l2-1-0.dll
热门推荐
WangIcter的专栏
06-26 4万+
epic关于win7报错缺失api-ms-win-downlevel-kernel32-l2-1-0.dll问题解决办法原因 问题 Epic Games Lancher安装完成后,点击启动Unreal Engine 4.26.2,此时报错: 缺失api-ms-win-downlevel-kernel32-l2-1-0.dll 解决办法 下载dll: 下载链接 拷贝到如下路径: C:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Wi
无法定位程序输入点kernel32.dll
09-26
无法定位程序输入点kernel32.dll是指在使用电脑系统时出现的错误提示,导致部分软件和游戏无法正常运行。解决该问题的方法是通过注册kernel32.dll文件来修复。具体步骤如下: 1. 打开“开始”菜单,点击“运行”。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值