获取kernel32基址的另两种方法

最新推荐文章于 2025-03-05 11:18:04 发布
最新推荐文章于 2025-03-05 11:18:04 发布
阅读量2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒技术 文章标签: exception api struct dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/trucce/article/details/4445635
本文介绍了除了通过PEB结构获取kernel32.dll基址之外的两种方法:一是利用进程初始化时堆栈指针ESP指向ExitThread地址进行搜索;二是遍历SEH链找到异常处理过程地址。这两种方法能帮助病毒在不依赖导入表的情况下找到关键API。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

病毒运行时可能会用到某些API,但如果导入表中没有的话,病毒的可移植性就不能保证。

已经知道ntdll.dllkernel32.dll是每个进程都需要加载的,如果知道了kernel32在进程中的地址,就能找到LoadLibraryGetProcAddress从而加载其他dll文件并调用里面的API

以前学到过利用PEB结构来获得kernel32在进程中的基址

其实还有两种常用的方法

 

1.进程初始化时堆栈指针ESP指向ExitThread的地址,位置刚好在kernel32中。通过此地址向上搜索就可找到kernel32的基地址。

因为kernel32SectionAlignment64kb所以从ESP开始每次减小00010000h进行搜索。

别人写的搜索代码:

mov  edx, [esp]      ;此处为第一行代码,否则ESP可能被改变,就找不到地址了

.Next:  

dec  edx  ;

xor  dx, dx     ; EDX每次减小10000h,相当好玩的方法,值得学习

cmp  word [edx], "MZ" ;判断MZ标志

jz  .IsPe

jmp  .Next

.IsPe:

mov  eax, [edx+3ch]
cmp  word [eax+edx], 'PE'    ;判断PE标志
jnz  .Next
xchg  eax, edx       ;到此就可以确定是kernel32了,EAX中就是基地址

 

 

2.遍历SEH链,找到EXCEPTION_REGISTRATION结构prev-1的异常处理过程地址,这个地址就在kernel32中。既然已经定位到kernel32了,再使用上面的搜索方式找基址就好。

 

定义:

struct EXCEPTION_REGISTRATION

{
EXCEPTION_REGISTRATION* prev;
DWORD handler;

};

  mov  edx, [fs:0]  ;[fs:0]指向的就是SHE链,记得以前用过的是[fs:30]指向PEB

  inc  dword [edx]  ;prev++,看是否为0

  jz  .isKernel    ;0说明prev = = -1,找到了

  dec  dword [edx] ;否则恢复,再找下一个
  mov  edx,  [edx]
 .isKernel:
  dec  dword [edx]  
  mov  edx, [edx+4]  ;EDX+4就是句柄值,在kernel32中,再进行搜索

 

基本上就是这样

第10章 shellcode实战:05 原则:Kernel32基址获取
李小咖·网安技术库
05-01 1225
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导出函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
Python 获取指定模块基址
Wrpzkb
05-14 3917
因为昨天研究FPS游戏时候,发现有个动态地址每次重启电脑都会不同,然后因为有过用C和易语言编写指定模块名获取基址的经验,所以打算用Python来试试 在网上搜索了一点资料,发现有吾爱有一篇是使用Python32位,通过Ntdll库进行模块遍历。 将代码复制粘贴,因为我使用的是 Python64位的,改了改代码,但是发现失败了,搜不出来,因为代码涉及到PE头,目前还没碰到这块区域,代码作者也说他只是复制粘贴的,所以也不甚清楚为什么,就只能寻出路了。 def _ReadMemeryInt(hGameHand.
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5139
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
内联汇编获取Kernaer32基址.
weixin_30719711的博客
04-22 175
DWORD GetKerner32ImageBase() { DWORD nIMageBase = 0; __asm { xor edx,edx mov ecx, fs:[0x30]; mov ecx, [ecx + 0x0C]; mov ecx, [ecx + 0x1C]; ...
获取Kernel32地址的几种方法
liwei8703的专栏
12-15 1455
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
获取kernel32.dll基址
bcbobo21cn的专栏
01-03 5911
获取kernel32.dll基址 一 原理和概述 找kernel32地址方法一般有三种:暴力搜索法、异常处理链表搜索法、PEB法。 暴力搜索法是最早的动态查找kernel32地址方法。它的原理是: 几乎所有的win32可执行文件(pe格 式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp中存放的一般是 Ker
获取Kernel32地址
最新发布
sagic的博客
03-05 816
当异常发生时,系统从fs:[0]指向的内存地址处取出ExceptionList字段,然后从ExceptionList字段指向的_EXCEPTION_REGISTRATION_RECORD结构中取出handler字段,并根据其中的地址去调用异常处理程序(回调函数)。异常处理链表是提到的由_EXCEPTION_REGISTRATION_RECORD结构构成的单链表。
《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
bcdaren的博客
10-23 1491
上一节中我们介绍了如何动态调用DLL方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址
kernel32.dll基址
02-11
需要注意的是,上述两种方法适用于不同的场景需求——前者简单易行适合大多数情况;后者则提供了更为灵活但也相对复杂的解决方案,尤其当目标不是当前运行的应用程序而是其他外部进程时显得尤为重要。
c++ 读取内存数据 基址_内存管理(仅学习)
weixin_39946798的博客
11-03 2021
理解linux内存管理首先得理解内存映射。程序用的都是逻辑地址,以下为objdump反汇编程序的结果,左边一列都是逻辑地址:000000000040053c : 40053c: 55 push %rbp 40053d: 48 89 e5 mov %rsp,%rbp 400540: bf 4c 06 40 0...
取得KERNEL32.DLL位置的一种方法
misterliwei的专栏
01-06 3498
 取得KERNEL32.DLL位置的一种方法2009-10-7编辑 在代码插入运行时,常常要知道kernel32.dll的位置,进而获得GetProcAddress的地址,最近看了以前的一篇《从PEB中取出MODULENAME》的文章,想想可以通过这种方法获得kernel32.dll地址。下面
关于kernel32地址获取
xrain_zh的专栏
03-27 5163
[-] 关于kernel32地址获取 一shellcode获取kernel32dll地址获取当前进程的PID 文件名 以及完整路径 关于kernel32地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll地址) 首先了解TEB,
确定kernel32.dll基址方法
annhf的专栏
12-01 3509
kernel32.dll这个文件十分重要,它包含很了我们需要使用的函数。比如说,GetProcAdress和LoadLibraryA这个两个函数。想想,通过这两个函数 我们就可以得到所有的函数。如果我们确定了这个动态链接库文件的基址,就可以找到这两个函数的偏移量。怎么确定这个动态链接库的基址呢?这里一共有三个方法1PEBpeb是process environment block的缩写,每个进程都对
Win32 XP 下和WIN7下获取Kernel32基址方法
weixin_30674525的博客
03-16 289
;xp下使用_GetKernelBase proc local @dwRet pushad assume fs:nothing mov eax,fs:[30h] ;获取PEB所在地址 mov eax,[eax+0ch] ;获取PEB_LDR_DATA 结构指针 mov esi,[eax+1ch] ;获取InInitializationOrderModuleL...
从堆栈查找Kernel32.DLL基址
eaglenet的专栏
02-18 1788
原理是这样的:每个用户态进程的WinMain代码都是由启动代码(CRTStartup)调用的,而启动代码是kernel32.dll里的某个函数调用的,当然也可能没有WinMain和WinMainCRTStart之类的函数(如Delphi编译出的代码),但进程启动后,kernel32.dll中的一个的未知代码位置一定保存在堆栈里的,所以从顶往底测试堆栈里的元素,一定可以找到kernel32.dll
获得KERNEL32.DLL模块地址以及函数的地址
SUNE__学无止境
05-29 2951
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
转载 获得kernel32.dll地址
Breaking The Secretes
05-01 1335
获取kernel32.dll映像基址   很久不写关于技术的东西了,由于最近在研究内嵌汇编和机器码的注入,故把下面这段代码列出来。其中C/C++的部分和inline asm的最后一句是我写的。自评:极其缺乏原创精神。
获得kernel32地址的通用办法
Sunny_wwc的专栏
04-24 1982
win7上也能用的定位kernel32基址方法 2010-10-21 13:12<br />看雪上看到的,挺不错,转至<br />------------------------------------------------------------------------------------------------<br />通过在InInitializationOrderModuleList中查找kernel32.dll模块名称的长度来定位它的基地址,因为"kernel32.dll"的最后一个字符
动态获取Kernel32的函数地址
做一个快乐学习者
05-04 1189
VOID ShowDll() { //Kernel32.dll基址 DWORD dwBase; //Dos指针 PIMAGE_DOS_HEADER pDos = NULL; //Nt指针 PIMAGE_NT_HEADERS pNt = NULL; //导出表指针 PIMAGE_EXPORT_DIRECTORY pExport = NULL; //EAT PDWORD ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值