手工获取kernel基地址

最新推荐文章于 2023-07-06 15:20:19 发布
原创 最新推荐文章于 2023-07-06 15:20:19 发布 · 856 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#parameters #string #struct #user #integer #list

本文详细介绍了Windows操作系统中PEB(进程环境块)的结构及其相关内容。PEB用于存储进程的全局信息,包括进程参数、加载的数据等。文章还通过汇编指令展示了如何获取KERNEL32.DLL的基地址。

首先回顾一下几个结构:

typedef struct _RTL_USER_PROCESS_PARAMETERS
{
ULONG MaximumLength; // 00h
ULONG Length; // 04h
ULONG Flags; // 08h
ULONG DebugFlags; // 0Ch
PVOID ConsoleHandle; // 10h
ULONG ConsoleFlags; // 14h
HANDLE InputHandle; // 18h
HANDLE OutputHandle; // 1Ch
HANDLE ErrorHandle; // 20h
CURDIR CurrentDirectory; // 24h
UNICODE_STRING DllPath; // 30h
UNICODE_STRING ImagePathName; // 38h
UNICODE_STRING CommandLine; // 40h
PWSTR Environment; // 48h
ULONG StartingX; // 4Ch
ULONG StartingY; // 50h
ULONG CountX; // 54h
ULONG CountY; // 58h
ULONG CountCharsX; // 5Ch
ULONG CountCharsY; // 60h
ULONG FillAttribute; // 64h
ULONG WindowFlags; // 68h
ULONG ShowWindowFlags; // 6Ch
UNICODE_STRING WindowTitle; // 70h
UNICODE_STRING DesktopInfo; // 78h
UNICODE_STRING ShellInfo; // 80h
UNICODE_STRING RuntimeInfo; // 88h
RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20]; // 90h
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

#define PEB_BASE (0x7FFDF000)

typedef struct _PEB_LDR_DATA
{
ULONG Length;
BOOLEAN Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef VOID STDCALL (*PPEBLOCKROUTINE)(PVOID);

typedef struct _PEB
{
UCHAR InheritedAddressSpace; // 00h
UCHAR ReadImageFileExecOptions; // 01h
UCHAR BeingDebugged; // 02h
UCHAR Spare; // 03h
PVOID Mutant; // 04h
PVOID ImageBaseAddress; // 08h
PPEB_LDR_DATA Ldr; // 0Ch
PRTL_USER_PROCESS_PARAMETERS ProcessParameters; // 10h
PVOID SubSystemData; // 14h
PVOID ProcessHeap; // 18h
PVOID FastPebLock; // 1Ch
PPEBLOCKROUTINE FastPebLockRoutine; // 20h
PPEBLOCKROUTINE FastPebUnlockRoutine; // 24h
ULONG EnvironmentUpdateCount; // 28h
PVOID* KernelCallbackTable; // 2Ch
PVOID EventLogSection; // 30h
PVOID EventLog; // 34h
PPEB_FREE_BLOCK FreeList; // 38h
ULONG TlsExpansionCounter; // 3Ch
PVOID TlsBitmap; // 40h
ULONG TlsBitmapBits[0x2]; // 44h
PVOID ReadOnlySharedMemoryBase; // 4Ch
PVOID ReadOnlySharedMemoryHeap; // 50h
PVOID* ReadOnlyStaticServerData; // 54h
PVOID AnsiCodePageData; // 58h
PVOID OemCodePageData; // 5Ch
PVOID UnicodeCaseTableData; // 60h
ULONG NumberOfProcessors; // 64h
ULONG NtGlobalFlag; // 68h
UCHAR Spare2[0x4]; // 6Ch
LARGE_INTEGER CriticalSectionTimeout; // 70h
ULONG HeapSegmentReserve; // 78h
ULONG HeapSegmentCommit; // 7Ch
ULONG HeapDeCommitTotalFreeThreshold; // 80h
ULONG HeapDeCommitFreeBlockThreshold; // 84h
ULONG NumberOfHeaps; // 88h
ULONG MaximumNumberOfHeaps; // 8Ch
PVOID** ProcessHeaps; // 90h
PVOID GdiSharedHandleTable; // 94h
PVOID ProcessStarterHelper; // 98h
PVOID GdiDCAttributeList; // 9Ch
PVOID LoaderLock; // A0h
ULONG OSMajorVersion; // A4h
ULONG OSMinorVersion; // A8h
ULONG OSBuildNumber; // ACh
ULONG OSPlatformId; // B0h
ULONG ImageSubSystem; // B4h
ULONG ImageSubSystemMajorVersion; // B8h
ULONG ImageSubSystemMinorVersion; // C0h
ULONG GdiHandleBuffer[0x22]; // C4h

PVOID ProcessWindowStation; // ???
} PEB, *PPEB;

 __asm
 {
  mov eax,fs:30h//指向PEB
  mov eax,[eax+0x0c]//指向PEB 的 _PEB_LDR_DATA结构
  mov esi,[eax+0x1c]
  lodsd//是以si位首地址,每次拷贝4个字节,把这4个字节放到eax中,然后si自动+4.
   //得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
  mov eax,[eax+0x08]//得到BaseAddress,既Kernel32.dll基址
  mov base,eax
 }

Linux驱动开发: 网络设备驱动开发
09-01 5316
Linux内核版本:3.5 一、Linux下网络相关命令 1.1 ifconfig命令:设置网卡IP地址 功能 ifconfig用于查看和更改网络接口的地址和参数,包括IP地址、网络掩码、广播地址,使用权限是超级用户。 语法:fconfig -interface [options] address 主要参数 -interface 指定的网络接口名,如eth0和eth1。 up 激活指定的网络接口卡。 ..
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5174
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
获取操作系统的内核基地址
weixin_33724046的博客
11-05 602
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
通过TopStack方法获取kernel基址简介
taozpwater的专栏
05-08 1067
1、简介       本地线程的堆栈里偏移1CH(或者18H)的指针指向kernel32.dll内部,而fs:[0x18]指向当前线程而且往里四个字节指向线程栈,       结合堆栈的top pointer进行对齐遍历,找到PE文件头(DLL的文件格式)的“MZ”MSDOS标志,就拿到了kernel32.dll基址。 先从Windbg里查看一下: 0:000> dt -v -r _NT_
Delphi下构建无导入表程序-使用:hash获取API,k32Base等
05-11 1682
//Start~~~《Delphi实现无导入表程序》初学编程,请勿奸笑:P首先感谢,一些认识不认识的前辈高人的资料.谢谢~前提假设您已经有了一定的PE Virus的知识.好了~先简单的说说无导入表程序的几点基本的构成1.GetkernelBase(获取kernel32.dll的基址)由于我们是无导入表的程序所以,所有API函数都是依靠内存搜索完成的,想必大家已经知道EXE载入到内存中ESP保存Ex
十八.linux开发之Kernel移植——从三星官方内核开始移植
Mr.Wang的博客
09-04 4096
有道云笔记地址: 详情看这里链接,记录太多,就不一一排版了。 http://note.youdao.com/noteshare?id=4df8da7c54557abfe7089285917c65f9 一、内核移植初体验 1、三星官方移植版内核获取 (1)从网盘下载源码包。 (2)这个文件最初是来自于三星的SMDKV210开发板附带的光盘资料 (3)删除无关文件,一般都是在...
一篇长文叙述Linux内核虚拟地址空间的基本概括
m0_74282605的博客
11-12 1761
这里的内存模型,是指Linux内核用怎么样的方式去管理物理内存,一个物理内存页(4k),内核会用一个page(64Byte)(类似物理页的meta)去记录Physics Page Number相关信息,下面几种内存模型是讲如何存储这个物理机的meta信息(page),保证内核能快速根据PFN/PPN找到Page,也可以根据Page快速算出PFN。Linux内存模型发展经历了三个模式,分别为FLATMEM、DISCONTIGMEM、SPARSEMEM。PS:这里说下PFN和PPN是一个东西。
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 1162
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
KVM虚拟化之小型虚拟机kvmtool的使用
tugouxp的专栏
01-27 3963
分配给虚拟机大于4GB的RAM需要在RAM中留下一个GAP,用于PCI MMIO、热插拔和未配置的设备(详细信息请参阅e820_setup_gap())。
关于kernel32基地址获取
xrain_zh的专栏
03-27 5227
[-] 关于kernel32基地址获取 一shellcode获取kernel32dll基地址获取当前进程的PID 文件名 以及完整路径 关于kernel32基地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地址) 首先了解TEB,
kernel中如何读取内存的大小和地址
老黑
10-06 4254
1. 介绍了内存的信息在系统启动的传递过程 2. 介绍了kernel中是如何通过device tree获取内存信息的
获取Kernel32基地址的几种方法
liwei8703的专栏
12-15 1480
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
linux内核启动地址的确定
Xianfeng Design
06-11 1325
 内核编译链接过程是依靠vmlinux.lds文件,以arm为例vmlinux.lds文件位于kernel/arch/arm/vmlinux.lds,vmlinux-armv.lds的生成过程在kernel/arch/arm/Makefile中ifeq ($(CONFIG_CPU_32),y)PROCESSOR = armvTEXTADDR = 0xC0008000LD
获取游戏基地址代码
最新发布
12-15
虽然没有直接的引用提供获取游戏基地址的代码示例,但可以参考一些通用的编程思路。在Windows系统下,通常会使用Windows API函数来实现获取进程和模块基地址的操作,以下是一个使用Python和`psutil`、`ctypes`库的示例代码: ```python import psutil import ctypes from ctypes import wintypes # 定义Windows API函数 kernel32 = ctypes.WinDLL('kernel32', use_last_error=True) OpenProcess = kernel32.OpenProcess OpenProcess.argtypes = [wintypes.DWORD, wintypes.BOOL, wintypes.DWORD] OpenProcess.restype = wintypes.HANDLE CloseHandle = kernel32.CloseHandle CloseHandle.argtypes = [wintypes.HANDLE] CloseHandle.restype = wintypes.BOOL EnumProcessModulesEx = kernel32.EnumProcessModulesEx EnumProcessModulesEx.argtypes = [wintypes.HANDLE, wintypes.LPVOID, wintypes.DWORD, wintypes.LPDWORD, wintypes.DWORD] EnumProcessModulesEx.restype = wintypes.BOOL GetModuleFileNameExW = kernel32.GetModuleFileNameExW GetModuleFileNameExW.argtypes = [wintypes.HANDLE, wintypes.HMODULE, wintypes.LPWSTR, wintypes.DWORD] GetModuleFileNameExW.restype = wintypes.DWORD PROCESS_QUERY_INFORMATION = 0x0400 PROCESS_VM_READ = 0x0010 LIST_MODULES_ALL = 0x00000003 def get_process_base_address(process_name): for proc in psutil.process_iter(['name']): if proc.info['name'] == process_name: process_id = proc.pid process_handle = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, False, process_id) if process_handle: module_array = (wintypes.HMODULE * 1024)() bytes_needed = wintypes.DWORD() if EnumProcessModulesEx(process_handle, ctypes.byref(module_array), ctypes.sizeof(module_array), ctypes.byref(bytes_needed), LIST_MODULES_ALL): module_count = bytes_needed.value // ctypes.sizeof(wintypes.HMODULE) if module_count > 0: base_address = module_array[0] module_name = ctypes.create_unicode_buffer(260) if GetModuleFileNameExW(process_handle, base_address, module_name, ctypes.sizeof(module_name)): print(f"Process: {process_name}, Base Address: {hex(base_address)}") CloseHandle(process_handle) return base_address CloseHandle(process_handle) return None # 使用示例 game_process_name = "your_game.exe" base_address = get_process_base_address(game_process_name) if base_address: print(f"Game base address: {hex(base_address)}") else: print("Game process not found.") ``` ### 代码解释 1. **导入必要的库**:使用`psutil`库来遍历系统中的进程,使用`ctypes`库来调用Windows API函数。 2. **定义Windows API函数**:定义了`OpenProcess`、`CloseHandle`、`EnumProcessModulesEx`和`GetModuleFileNameExW`等函数。 3. **遍历进程**:使用`psutil.process_iter`遍历系统中的所有进程,找到指定名称的进程。 4. **打开进程**:使用`OpenProcess`函数打开进程,获取进程句柄。 5. **枚举模块**:使用`EnumProcessModulesEx`函数枚举进程中的模块,获取模块句柄数组。 6. **获取基地址**:获取模块句柄数组中的第一个元素,即为进程的基地址。 7. **关闭句柄**:使用`CloseHandle`函数关闭进程句柄。 ### 注意事项 - 请将`your_game.exe`替换为实际的游戏进程名称。 - 运行该代码需要管理员权限。 - 该代码仅适用于Windows系统。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值