fs寄存器及kernel32.dll地址的获取

最新推荐文章于 2024-10-23 07:32:35 发布
最新推荐文章于 2024-10-23 07:32:35 发布
阅读量700 收藏
点赞数
分类专栏: 安全相关 文章标签: image integer alignment header linker exception
本文介绍了三种获取KERNEL32.DLL基址的方法:利用PEB结构查找、堆栈暴力搜索及使用SEH链表。这些方法分别通过访问特定的数据结构如TEB、PEB_LDR_DATA和LDR_MODULE链表实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号


得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址

 

1)利用PEB结构来查找
原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于         PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构中,相应的双向链表头部        的指针(汗死,绕口令),该链表加载的DLL的顺序是ntdll.dll,kernel32.dll(偶找了N多资料,都只介绍这个DLL,如果你知道其他的请告诉偶)
        因此该成员所指的链表偏移0x08处为kernel32.dll地址
typedef struct _PEB { // Size: 0x1D8
/*000*/ UCHAR InheritedAddressSpace;
/*001*/ UCHAR ReadImageFileExecOptions;
/*002*/ UCHAR BeingDebugged;
/*003*/ UCHAR SpareBool; // Allocation size
/*004*/ HANDLE Mutant;
/*008*/ HINSTANCE ImageBaseAddress; // Instance
/*00C*/ VOID *DllList;
/*010*/ PPROCESS_PARAMETERS *ProcessParameters;
/*014*/ ULONG SubSystemData;
/*018*/ HANDLE DefaultHeap;
/*01C*/ KSPIN_LOCK FastPebLock;
/*020*/ ULONG FastPebLockRoutine;
/*024*/ ULONG FastPebUnlockRoutine;
/*028*/ ULONG EnvironmentUpdateCount;
/*02C*/ ULONG KernelCallbackTable;
/*030*/ LARGE_INTEGER SystemReserved;
/*038*/ ULONG FreeList;
/*03C*/ ULONG TlsExpansionCounter;
/*040*/ ULONG TlsBitmap;
/*044*/ LARGE_INTEGER TlsBitmapBits;
/*04C*/ ULONG ReadOnlySharedMemoryBase;
/*050*/ ULONG ReadOnlySharedMemoryHeap;
/*054*/ ULONG ReadOnlyStaticServerData;
/*058*/ ULONG AnsiCodePageData;
/*05C*/ ULONG OemCodePageData;
/*060*/ ULONG UnicodeCaseTableData;
/*064*/ ULONG NumberOfProcessors;
/*068*/ LARGE_INTEGER NtGlobalFlag; // Address of a local copy
/*070*/ LARGE_INTEGER CriticalSectionTimeout;
/*078*/ ULONG HeapSegmentReserve;
/*07C*/ ULONG HeapSegmentCommit;
/*080*/ ULONG HeapDeCommitTotalFreeThreshold;
/*084*/ ULONG HeapDeCommitFreeBlockThreshold;
/*088*/ ULONG NumberOfHeaps;
/*08C*/ ULONG MaximumNumberOfHeaps;
/*090*/ ULONG ProcessHeaps;
/*094*/ ULONG GdiSharedHandleTable;
/*098*/ ULONG ProcessStarterHelper;
/*09C*/ ULONG GdiDCAttributeList;
/*0A0*/ KSPIN_LOCK LoaderLock;
/*0A4*/ ULONG OSMajorVersion;
/*0A8*/ ULONG OSMinorVersion;
/*0AC*/ USHORT OSBuildNumber;
/*0AE*/ USHORT OSCSDVersion;
/*0B0*/ ULONG OSPlatformId;
/*0B4*/ ULONG ImageSubsystem;
/*0B8*/ ULONG ImageSubsystemMajorVersion;
/*0BC*/ ULONG ImageSubsystemMinorVersion;
/*0C0*/ ULONG ImageProcessAffinityMask;
/*0C4*/ ULONG GdiHandleBuffer[0x22];
/*14C*/ ULONG PostProcessInitRoutine;
/*150*/ ULONG TlsExpansionBitmap;
/*154*/ UCHAR TlsExpansionBitmapBits[0x80];
/*1D4*/ ULONG SessionId;
} PEB, *PPEB;

typedef struct _PEB_LDR_DATA
{
 ULONG Length; // +0x00
 BOOLEAN Initialized; // +0x04
 PVOID SsHandle; // +0x08
 LIST_ENTRY InLoadOrderModuleList; // +0x0c
 LIST_ENTRY InMemoryOrderModuleList; // +0x14
 LIST_ENTRY InInitializationOrderModuleList;// +0x1c
} PEB_LDR_DATA,*PPEB_LDR_DATA; // +0x24

-typedef struct _LDR_MODULE

-{

-    LIST_ENTRY          InLoadOrderModuleList;   +0x00

-    LIST_ENTRY          InMemoryOrderModuleList; +0x08  

-    LIST_ENTRY          InInitializationOrderModuleList; +0x10

-    void*               BaseAddress;  +0x18

-    void*               EntryPoint;   +0x1c

-    ULONG               SizeOfImage;

-    UNICODE_STRING      FullDllName;

-    UNICODE_STRING      BaseDllName;

-    ULONG               Flags;

-    SHORT               LoadCount;

-    SHORT               TlsIndex;

-    HANDLE              SectionHandle;

-    ULONG               CheckSum;

-    ULONG               TimeDateStamp;

-} LDR_MODULE, *PLDR_MODULE;



实例代码:
               mov  eax,fs:[0x30]
               mov  eax,[eax+0x0c]
               mov  esi ,[eax+0x1c]
               lodsd
               mov eax,[eax+0x08]
               ret

2)利用堆栈暴力搜索

原理:  在程序开始时,栈顶所指向的值是kernel32.dll所在页的某个高地址,我们采用向下搜索的方法,来查找。同时,在PE中的            image_optional_header中在偏移0x34处有kernel32.dll的地址。以下是image_optional_header的结构    

   
     IMAGE_OPTIONAL_HEADER STRUC             ; Optional Header
     OH_Magic                              DW ?           ; Magic word
     OH_MajorLinkerVersion           DB ?           ; Major Linker version
     OH_MinorLinkerVersion           DB ?           ; Minor Linker version
     OH_SizeOfCode                      DD ?           ; Size of code section
     OH_SizeOfInitializedData         DD ?           ; Initialized Data
     OH_SizeOfUninitializedData     DD ?           ; Uninitialized Data
     OH_AddressOfEntryPoint         DD BYTE PTR ?  ; Initial EIP
     OH_BaseOfCode                     DD BYTE PTR ?  ; Code Virtual Address

     OH_BaseOfData                     DD BYTE PTR ?  ; Data Virtual Address

     OH_ImageBase                       DD BYTE PTR ?  ; Base of image-----------------------------------kernel32.dll地址
     OH_SectionAlignment              DD ?           ; Section Alignment
     OH_FileAlignment                   DD ?           ; File Alignment
     OH_MajorOperatingSystemVersion  DW ?           ; Major OS
     OH_MinorOperatingSystemVersion  DW ?           ; Minor OS
     OH_MajorImageVersion                 DW ?           ; Major Image version
     OH_MinorImageVersion                 DW ?           ; Minor Image version
     OH_MajorSubsystemVersion          DW ?           ; Major Subsys version
     OH_MinorSubsystemVersion          DW ?           ; Minor Subsys version
     OH_Win32VersionValue                 DD ?           ; win32 version
     OH_SizeOfImage                          DD ?           ; Size of image
     OH_SizeOfHeaders                       DD ?           ; Size of Header
     OH_CheckSum                             DD ?           ; unused
     OH_Subsystem                            DW ?           ; Subsystem
     OH_DllCharacteristics                   DW ?           ; DLL characteristic
     OH_SizeOfStackReserve               DD ?           ; Stack reserve
     OH_SizeOfStackCommit               DD ?           ; Stack commit
     OH_SizeOfHeapReserve               DD ?           ; Heap reserve
     OH_SizeOfHeapCommit               DD ?           ; Heap commit
     OH_LoaderFlags                         DD ?           ; Loader flags
     OH_NumberOfRvaAndSizes          DD ?           ; Number of directories
                                      UNION                         ;         directory entries
     OH_DataDirectory        IMAGE_DATA_DIRECTORY/
                                      IMAGE_NUMBEROF_DIRECTORY_ENTRIES DUP (?)
     OH_DirectoryEntries    IMAGE_DIRECTORY_ENTRIES ?
                                     ENDS                         ;
     ENDS                                                    ;

实例代码:
        start:   mov  edx,[esp]
                   dec   edx
                   mov  ebx,[edx+0x3c]
                   mov  ebx,[ebx+edx+0x34]
                   cmp  edx,ebx
                   jnz    start
                   ret                           ;此时在edx中的值为kernel32.dll地址

3)使用SEH的链表来查找
原理:在SEH中默认的unhandled exception hander 是利用kernel32.DLL中的一个函数设置的。因此可以历遍所有的exception    hander,          找到最后一个成员,该成员的前4个字节是0ffffffffh,后4个字节是kernel32.dll中的函数(看了很多paper,都没有说明为什么通过该函数可以得到kernel32.dll的地址,偶个人认为,通过这个函数定位到了输出表,然后向低地址搜索,就能找到ZM头,也就是kernel32的地址,如果有错误,请告诉偶,谢谢)

实例代码:
                   mov esi,fs[0]
        @@1:  lodsd
                   cmp [eax],0xffffffff
                   jne   @@1
                   mov  eax,[eax+0x04]
        @@2:  dec   eax
                   xor    ax,ax
                   cmp  eax word ptr[eax]  'MZ'
                   jne    @@2
                   ret
此时eax为kernel32.dll地址

参考:《恶意代码的亲密接触》
          《gloomy对内核的分析》
          《通过TEB/PEB枚举当前进程空间中用户模块列表》

第05节 原则:Kernel32基址获取
李小咖·网安技术库
05-01 1205
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
关于Windows系统调用
Fly Follow the Heart
09-07 4147
Kernel32.dll 中的 ReadFile 方法为例: 首先到 kernel32!ReadFile 函数,从如下截取的汇编代码中可以看到,改函数会调用kernel32!_imp__NtReadFile指向的函数 kernel32!ReadFile+0xd2: 7c801962 bb03010000 mov ebx,103h 7c801967 891e
Kernel32.dll 中的方法
Michael.M的专栏
09-16 5019
<br />_hread _hwrite _lclose _lcreat _llseek _lopen _lread _lwrite ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlternateComputerNameW AddRefActCtx AddVectoredExceptionHandler Al
几种得到kernel32.dll地址的方法(基本就是抄的)
热门推荐
程序员的梦
02-13 1万+
1)利用PEB结构来查原理:FS寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。而在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针,位于         PEB_LDR_DATA结构偏移0x1c处,是一个叫InInitialzationOrderModuleList的成员,他是指向LDR_MODULE链表结构中,相应的双向链表头部        的指针
Kernel32.DLL APIs
Lobbyfish的专栏
10-07 1931
_hread_hwrite_lclose_lcreat_llseek_lopen_lread_lwriteActivateActCtxAddAtomAAddAtomWAddConsoleAliasAAddConsoleAliasWAddLocalAlternateComputerNameAAddLocalAlternateComputerNameWAddRefActCtxAddVectoredCo
KERNEL32相关函数
weixin_34381666的博客
10-18 909
CALL DWord Ptr [<&KERNEL32.WriteFile>] kernel32.WriteFile 将数据写入一个文件,也可将这个函数应用于对通信设备、管道、套接字以及邮槽的处理 CALL DWord Ptr [<&KERNEL32.WriteConsole>]...
kernel32.dll IntPtr
小小的博客
11-04 311
[DllImport("kernel32.dll")]引入kernel32.dll动态连接库 private static extern void 函数名(参数,[参数]); 使用该函数
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
最新发布
bcdaren的博客
10-23 1467
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5136
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
kernel32.dll
12-01
缺少kernel32.dll引起的问题,本文件包括kernel32.dll和其描述。
kernel32.dll文件
03-12
kernel3.dll文件,用于替换被损坏的dll文件,内有各种版本,32位和64位皆可用
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll实现无导入表的hello world
获得KERNEL32.DLL模块地址以及函数的地址
SUNE__学无止境
05-29 2945
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
浅谈Kernel32.dll(Windows平台下必有的动态库文件)
Bobowen的博客
12-09 6254
今天听了前辈的黑客攻击的知识分享,里面比较基础的元素就是Kernel32.dll,我对它感兴趣好久了,今天搜集一些资料,有关Kernel32的。
C#调用API函数
w123wxh的专栏
07-22 1343
一、调用格式using System.Runtime.InteropServices; //引用此名称空间,简化后面的代码//使用DllImportAttribute特性来引入api函数,注意声明的是空方法,即方法体为空。[DllImport("user32.dll")]public static extern ReturnType FunctionName(type arg1,type arg2
kernel32.dll如何解决,教你如何快速修复kernel32.dll文件缺失问题
a555333820的博客
12-12 6547
本文将介绍kernel32.dll动态链接库报错的五种解决方法,探讨kernel32.dll丢失对电脑的影响以及其作用的介绍。我们可以下载一个dll修复工具,使用dll修复工具进行修复操作非常简单(亲测可以修复),它可以自动检测电脑缺失或者损坏的dll文件,如果kernel32.dll缺失,dll修复工具检测到以后,便会自动安装kernel32.dll文件。kernel32.dll是Windows操作系统中的一个核心动态链接库文件,它包含了许多重要的函数和服务,用于支持各种应用程序和系统的正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值