恶意代码行为-获取Kernel32基址-PEB搜索及利用OD分析

已于 2024-05-17 00:02:31 修改
阅读量506 收藏 6
点赞数 14
文章标签: c# 开发语言 安全 网络安全
于 2024-05-17 00:00:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzfff__/article/details/138967611
版权

所用工具:windbg、ollydbg

恶意代码行为:载入需要的DLL及获取该DLL中相关函数地址

为什么要找到Kernel32.DLL在哪儿?

其中2个重要的函数: LoadLibraryA,GetProcAddress

附上一张重要的图,待会会围绕这张图来分析。

getkernel.exe源码,这是一个获取kernel32.dll基址的程序

void __noreturn sub_401010()
{
  unsigned int v0; // eax
  unsigned int retaddr; // [esp+0h] [ebp+0h]

  v0 = retaddr & 0xFFFF0000;
  while ( *(_WORD *)v0 != 23117 )
  {
    v0 -= 0x10000;
    if ( v0 < 0x70000000 )
      goto LABEL_6;
  }
  if ( *(_WORD *)(*(_DWORD *)(v0 + 60) + v0) == 17744 )
  {
    wsprintfA(Text, "%X", v0);
    MessageBoxA(0, Text, Caption, 0);
  }
LABEL_6:
  ExitProcess(0);
}

运行效果

1.windbg调试

首先使用windbg调试,打开getkernel.exe

在命令输入框中输入命令dt_teb进入teb模块,通过图片可以知道在teb中偏移0x30处是PEB

TEB(Thread Environment Block,线程环境块):系统在此TEB中保存频繁使用的线程相关的数据。可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]

PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。可在TEB结构地址偏移0x30处获得PEB的地址位置。

输入命令dt_peb进入peb块,

在peb中偏移0x0c处是ldr

输入命令dt_PEB_LDR_DATA

然后输入命令!peb查看LDR地址,注意此次感叹号是英文的感叹号

输入命令dt _PEB_LDR_DATA 770389c0查看三个list地址,红色部分地址是LDR地址

然后输入命令dt _LDR_DATA_TABLE_ENTRY 0x5b54a0-8,从偏移0x14处取出地址0X5b54a0,进入该地址也就是LDR_MODULE里,减8是因为让程序进入栈顶处,这里面就是getkernel.exe程序自己的内容,可以对应图片中的相关信息。

例如偏移0x18处存储的是基址BaseAddress,值为00400000,偏移0x1c处存储的是该程序的入口地址为00401005,然后0x20处是大小,0x24处是该文件的全名,包括文件存放的路径。

上图中可以看到偏移0x08处是指向它的前向指针也就是LDR_ MODULE (ntlI.dI),所以输入命令dt _LDR_DATA_TABLE_ENTRY 0x5b5388-8进入里面,减8同样是使其进入栈顶。这里面是ntdll.dll的相关信息。

最后输入命令dt _LDR_DATA_TABLE_ENTRY 0x5b5898-8进入第三个数组LDR_ MODULE (kernel32.dll)。可以看到偏移0x18处就是kernel32.dll的基址,为759e0000,与该程序运行后的效果也一致。

2.ollydbg调试

使用OD随便打开一个exe文件,因为都会调用kernel32.dll,所以随便一个exe文件都可以。这里我还是调试getkernel.exe。发现程序入口在00401005,与前面使用windbg调试查找到的程序入口是一致的。

根据该图片,我们需要从FS偏移0x30处进入PEB模块,根据上图,可以看到FS为361000,偏移至361000+30=361030

在左下角右键转到表达式361030,进入PEB

然后在偏移0x0C处获得LDR的入口地址,转到表达式0035E000+0C=0035E00C处

在地址0035E00C处,储存着数值770389C0,这里指向的是PEB_ LDR_ DATA的地址,我们转到该地址处可以进入PEB_ LDR_ DATA

现在就进入了PEB_ LDR_ DATA块,可以对照着右图分析一下数据。

我们要取InMemoryOrderModuleList里的Flink指针里的地址值,也就是006F2A08,转到该处,进入LDR_ _MODULE ()。可以看到getkernel.exe的入口地址00401005,基址00400000等。

在LDR_ _MODULE ()中偏移0x08处的指针指向LDR_ MODULE (ntdll.dII),偏移0x08处也就是006F2A08,里面存储的006F2910就是LDR_ MODULE (ntdll.dII)中偏移0x08的位置,我们转到此处。

同理可以分析出ntdll.dll的基址、入口地址等。我们再转到006F8878处可以进入到LDR_ MODULE (kernel32.dIl),就可以看到kermel32.dll的基址是759E0000,这与我们前面用windbg调试得到的数值一致,也与getkercel.exe程序运行的结果一致。

_read_
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2010-2883 从漏洞分析到样本分析
qq_28205153的博客
08-19 4770
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱壳和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱壳、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
CVE-2012-0158漏洞分析报告
ZK_1874的博客
10-28 1427
CVE-2012-0158漏洞分析报告
一例疑似MMCore下载器分析
好好学习,天天向上
09-28 588
这是一例文件夹病毒,手法相对比较高级,通过域名关联到MMCore样本,可能与印度方向APT组织有关联。
Office 2003 sp3(CVE-2012-0158)漏洞分析报告
w_g3366的博客
09-07 718
文章目录Office 2003 sp3(CVE-2012-0158)漏洞分析报告1.漏洞背景2.漏洞成因2.1 触发漏洞2.2 定位漏洞模块2.3 定位漏洞函数2.4 分析漏洞成因2.5 总结3.利用过程3.1 分析和设计利用漏洞的ShellCode的结构3.2 寻找跳板指令jmp esp3.3 编写ShellCode,注入ShellCode4.构造Exp5.结语 Office 2003 sp3(...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
java恶意代码检测源码-Paper:网络安全技术和漏洞分析白皮书
06-05
7下定位kernel32.dll基址及shellcode编写 CVE-2009-0658漏洞分析 Firefox vulnerability(CVE-2011-0065 ) Bypassing DEP CVE-2009-4324漏洞分析 Flash XSS漏洞挖掘 BurpSuite工具使用经验 More Insights On The APT ...
游戏进程基址获取源码-易语言
06-12
最近在写一款游戏的喊话器,一天一变call的地址 , 于是就写了这个基址获取的,基址+偏移=真正的基址 蜀山飘渺 [[[ssol.exe+DCFA14]+34]+90]F 键的时候ecx [[[[[ssol.exe+DCFA14]+34]+08]+000003B4]+00000430] 喊话...
逆向-分析基址-csgo一键基质(附带源码)
12-05
本来还有更多的但是,实在是有点懒,写码子容易掉发~一键分两种方式,游戏内特征码搜索,点第一个按钮即可但是得进游戏!!切记一定要进游戏再点获取!!!!!第二种方式则是由我自己已经找好的数据,同步到云端,...
语言-易语言取模块基址
06-29
语言取模块基址源码
C# SqlSugar 如何使用Sql语句进行查询,并带参数进行查询,防注入
爱分享的小猿
07-11 159
C# SqlSugar 如何使用Sql语句进行查询,并带参数进行查询,防注入
C#中的Task.Delay(2000).Wait() 与await Task.Delay(2000)
07-07 449
C#中的Task.Delay(2000).Wait() 与await Task.Delay(2000)
C# WinForm —— 38 SplitContainer介绍
ChanMon的博客
07-07 362
将页面拆分成两个大小可以调整的区域,中间有一个拆分条,可以拖动拆分条来调整左右区域的大小。
C# Winform自制多轴力臂(简单易懂,方便扩展)
lvxingzhe3的博客
07-04 406
C# Winform自制多轴力臂(简单易懂,方便扩展)
线程安全(二)synchronized 的底层实现原理、锁升级
最新发布
ACGkaka的博客
07-11 1163
线程安全(二)synchronized 的底层实现原理、锁升级
Spire.PDF for .NET【文档操作】演示:C#/VB.NET:压缩 PDF 文档
励志做最业余的专业博主,控件产品可以私我~
07-11 453
在本文中,您将学习如何使用Spire.PDF for .NET在 C# 和 VB.NET 中压缩 PDF 文档。
Backend - visual studio 安装&配置&运行
是萝卜干呀的博客
07-11 634
知识量决定了未来能走多远
c#获取本机的MAC地址(附源码)
weixin_72139050的博客
07-11 113
使用winfrom做的,界面一个button,一个textBox,点了button以后给textBox赋值显示mac地址。在前一次的项目中,突然用到了这个获取本机的MAC地址,然后就研究了一下,记录下来,防止以后再用到,
利用python分析恶意代码pdf_利用Python开源工具分析恶意代码
05-24
利用Python来分析恶意代码PDF可以使用一些开源工具,如pefile、pydasm、pydbg等。以下是一个简单的例子,可以使用pefile来查找PE文件中的一些信息: ```python import pefile # 打开PE文件 pe = pefile.PE('malware.exe') # 打印PE文件的基本信息 print("[*] Image base: 0x%x" % pe.OPTIONAL_HEADER.ImageBase) print("[*] Entry point: 0x%x" % pe.OPTIONAL_HEADER.AddressOfEntryPoint) print("[*] Number of sections: %d" % pe.FILE_HEADER.NumberOfSections) # 打印每个节的信息 for section in pe.sections: print("[*] Section name: %s" % section.Name.decode('utf-8')) print("\t[*] Virtual address: 0x%x" % section.VirtualAddress) print("\t[*] Virtual size: 0x%x" % section.Misc_VirtualSize) print("\t[*] Size of raw data: %d" % section.SizeOfRawData) ``` 以上代码将打开一个名为“malware.exe”的PE文件,并打印一些基本信息,包括图像基址、入口点和节的数量。然后它将循环遍历每个节,并打印每个节的名称、虚拟地址、虚拟大小和原始数据大小。 另一个流行的工具是IDA Pro,它是一个交互式反汇编器和调试器。您可以使用Python脚本扩展IDA Pro的功能。例如,以下代码将使用IDA Pro分析PE文件,并查找包含字符串“malware”的函数: ```python import idaapi # 打开PE文件 idaapi.autoWait() idc.LoadFile('malware.exe') # 查找包含“malware”字符串的函数 search_str = 'malware' for func_ea in idautils.Functions(): func_name = idc.GetFunctionName(func_ea) for ref_ea in idautils.CodeRefsTo(func_ea, 1): if search_str in idc.GetDisasm(ref_ea): print("Found string in function: %s" % func_name) break ``` 以上代码将打开IDA Pro并加载PE文件“malware.exe”。然后它将循环遍历每个函数,并搜索代码引用到该函数的地方是否包含字符串“malware”。如果找到了包含该字符串的引用,代码将打印该函数的名称。 总的来说,Python和一些开源工具可以帮助您分析恶意代码PDF,但是要记住,这只是开始,您需要对恶意代码进行更深入的分析才能真正了解其行为和意图。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值