shellcode定位kernel32与LoadLibrary

最新推荐文章于 2024-10-23 07:32:35 发布
原创 最新推荐文章于 2024-10-23 07:32:35 发布 · 3.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#function #parameters #table #module #windows #api

这段代码展示了如何在Windows中使用Shellcode定位kernel32.dll的基地址以及LoadLibrary API的地址。通过遍历PEB(Process Environment Block)和其导入表,代码首先找到kernel32.dll模块,然后使用strcmp函数比较函数名称来获取LoadLibrary的地址。此方法在不同Windows版本中具有较好的兼容性,但相比暴力搜索和哈希值搜索,代码空间占用较大。

 

以上代码兼容windows任何版本 包括windows7

 

api搜索

常见的api搜索方法有

1:暴力搜索

2:通过函数名称的哈希值来搜索

 

由于在写本程序的时候没有想到那么麻烦,也没有在网上找参考代码

一下是我自己实现的,比以上两种办法都要琐碎的多,就严格根据

函数名称来搜

最低0.47元/天 解锁文章
第10章 shellcode实战:05 原则:Kernel32基址的获取
李小咖·网安技术库
05-01 1297
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导出函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 725
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
获取Kernel32shellcode
lif12345的专栏
02-28 923
获取Kernel32shellcode
通用ShellCode学习笔记——win7中获得LoadLibraryA地址
weixin_30548917的博客
09-19 470
一、ShellCode的编写 Kernel32地址的获取 由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置 esi=fs:0->TEB esi=TEB:30h->PEB esi=PEB:0ch->_P...
查找kernel32.dll 基地址 特征函数
x
08-09 535
从用户层高地址往下找 高地址:7ffe0000h (用户层可读的最高地址,之后的地址拒绝访问) 一直扫描到最后一块64k起始页面为止, 因此结束地址9999h 每个pe模块都会加载在64k边界的地址上, 因此每次减64k(10000h) 代码中增加了自己修复的重定位信息, 和异常处理; ***** 不要运行在调试环境中 , 否则异常首先被送到debug中 流程: 1.每次在64k的边界上查看是否是一个pe 2.如果是,则找到导出表,如果有导出表,根据名字GetProcAddres..
C++获取(32位)Kernel32 LoadLibrary等地址,并写入txt文件
MusicMan
06-06 2884
代码: // GetKernel32Info.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" using namespace std; int _tmain(int argc, _TCHAR* argv[]) { ofstream txtfile; txtfile.open(".\\kernel32info.txt",std::ios::out...
实现自己的LoadLibrary
weixin_33994429的博客
02-27 1191
2019独角兽企业重金招聘Python工程师标准>>> ...
探索软件安全:API函数地址搜索kernel32.dll动态链接库实践
在这个电子科技大学的软件安全搜索API实验中,主要目标是让学生深入理解API函数搜索的原理,并掌握在Windows系统中寻找特定API函数地址如kernel32.dll、LoadLibrary和GetProcAddress的方法。实验分为两个部分: 一...
动态定位API函数之shellcode编写
mdp1234的博客
11-28 1311
通用shellcode编写动态定位API 背景: 如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行 这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用
根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址
神经网络爱好者
06-03 2996
☆ 根据PE文件格式获取LoadLibraryA()/GetProcAddress()地址本节PE文件格式相关的术语以>为准([13]),不再强调该点。winnt.h中定义了部分相关数据结构,后面如未单独注明来自哪个头文件,均隐指来自winnt.h。执行vulnerable_0.exe,进入windbg调试状态。> !list -t _LIST_ENTRY.Flink -x "dd" -a "+
动态定位APIshellcode
weixin_34320724的博客
11-09 290
前面的<<HOOK IAT RING3>>文章中使用到了shellcode,那么这个shellcode是怎么制造出来的呢,本文将为你一步一步的解惑 这个shellcode的主要功能是调用MessageBoxA弹出一个空的对话框,注意此时的地址空间是在别的进程,由于不同的操作系统会影响动态链接库的加载地址,而且不同版本的dll中函数的偏移量RVA也不尽相同,因此写一个通用型...
shellcode API的自动定位
u200915331的专栏
07-20 1028
1.背景知识补充 在使用shellcode的时候有个很大的问题就是动态定位API,下面这段代码介绍的是利用PE结构来寻址API的方法。 步骤: a.找到PEB b.找到PEB_LDR_DATA c.找到InInitializationOrderModuleList d.找到kernel32.dll基地址 e.找到PE头 f.找到函数导出表 g.
shellcode学习
若面朝大海边竹妮春暖花开的博客
08-21 400
1、独立的存在,无需任何文件格式的包装 2、内存中运行,无需固定指定的宿主进程 生成shellcode的一种方法是找到编写的程序的文件偏移,用winhex打开程序,找到文件偏移,复制十六进制保存为文件。 用ida打开我们的文件,在函数名称栏我们可以看到有很多sub_开头的函数,这些全是vs给我们自动添加的代码,这些代码对我们编写shellcode有很大干扰,我们要尽量将其清除 1、修改程序入口点 2、关闭缓冲区安全检查 代码生成中的运行库debug版本要设置成为MTD,release版本要修改为MT
利用shellcode来实现API的自动定位
Misaka10046的博客
09-16 535
代码 #include<stdio.h> void main() { _asm{ CLD//CF标志位清0,防止影响跳转 push 0x1e380a6a push 0x4fd18963 push 0x0c917432//保存MassageBox,ExitProcess,LoadLibrary //的hash值 mov esi,esp//保存栈顶的值 lea edi,[esi - 0xc] xor ebx,ebx mov bh,0x04 sub esp
通用型ShellCode,加载指定DLL模块
逐天实验室 ( SCLB )
11-03 4792
利用通用型ShellCode加载指定Dll模块,并提取ShellCode字节码,调用ShellCode
软件漏洞分析入门_6_初级shellcode_定位缓冲区
01-14 801
第6讲 shellcode初级_定位缓冲区精勤求学,敦笃励志 跟贴中看到已经有不少朋友成功的完成了前面的所有例题,今天我们在前面的基础上,继续深入。每一讲我都会引入一些新的知识和技术,但只有一点点,因为我希望在您读完贴之后就能立刻消化吸收,这是标准的循序渐进的案例式学习方法 另外在今天开始之前,我顺便说一下后面的教学计划: 我会再用3~4次的讲座来阐述shellcode技术,确保大家能够在比较简单
Windows PE》9.2 动态加载技术-获取kernel32.dll基址
最新发布
bcdaren的博客
10-23 1622
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址。
关于 LoadLibrary
Coder in Tokyo
04-01 853
我们平常使用要Dll的导出函数是用的是LoadLibrary。然后再GetProcAddress取得函数的入口地址。LoadLibrary是在kernel32.dll中定义的。那么kernel32.dll是由谁来导入的呢? 显然不能用LoadLibrary,这是一个先有鸡还是先有蛋的问题。答案是使用Ntdll的导出函数 LdrLoadDll,然后再LdrGetProcedureAddres
无法在 DLL“kernel32”中找到名为“XXX”的入口点
热门推荐
dsyzxty的专栏
10-05 1万+
1,出现这个问题,完全属于自己的误操作 2,因需要将Private改为Public的时候,默认的是整个项目 3,改了几处替换,取消掉后,之前   [DllImport("kernel32")]内读取配置文件的的函数名由XXPrivateXXX变成了XXPublicXXX 4,因此始终提示无法在 DLL“kernel32”中找到名为“XXX”的入口点 5,另外还要注意大小写不能错
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值