R3获取kernel32地址

最新推荐文章于 2025-03-05 11:18:04 发布
最新推荐文章于 2025-03-05 11:18:04 发布
阅读量2.9k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: 宋孖健 13 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/71006302
本文介绍了在代码注入和PE重构中如何动态获取Kernel32.dll中LoadLibrary()和GetProcAddress()函数的地址,以避免导入表暴露调用。通过FS寄存器、TEB、PEB_LDR_DATA等结构,详细解释了一个在R3层获取Kernel32基地址的可靠方法,并提供了C++测试代码。这种方法适用于不同系统和版本,但在产品上线前需要进行全面测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

获取Kernel32地址

    如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数的地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。

    对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是已经加载了的),然后获取原来的地址,再自己调用。

而对于代码注入这种内存里跑的,通常是在注入程序里自己获取了相关函数的地址(同一一个运行的系统中,多个进程获取到的这两个函数的地址是一样的)so....

这次是直接通过其他方法获取kernel32的地址,通常用在PE文件变形中。主要还是处理内嵌机器码对导入表的依赖问题。

    Ok就在刚刚搜索相关资料的时候,我发现有人通过类似姿在R3层隐藏DLL的调用。一会总结完这个再学习下那个东西。

    获取Kernel32的地址网上也有很多姿势,我总结一个我觉得靠谱的,之前一直在研究驱动相关,想在R0搞一些事情,很多时候都要通过统配标识符来定位相关地址,比如Hook SSDT,64位里很多东西都要通过寻找特征码来找,要么就通过回调,但是因为是要搞事情,很多时候回调搞不定。So...,但是面临的问题就是寻找特征码这个姿势并不稳定,很容易就出问题。你分析了XP win7 win10 那么写了个代码,测试OK敢上线吗?一个问题是不同系统之间可能不一样,同一个系统之间不同版本也可能不同,没有公开的东西,微软有权利随便更改结构(虽然通常不会改,以为没必要)。最后导致的不兼容等蓝屏问题,这个锅当然也是自己背,尤其是做产品,很多时候我们要记住,自己是产品,不是什么外挂和小众软件。很多时候,用户并不懂,蓝屏了的话就是你产品不行,不管你采取了多底层的保护方式,所以很多安全厂商也不想在自己的产品上做减法。这也是为什么如果你搞对抗,就会发现64位出来之后,很多杀软都变得低调了很多,经过测试,在R0里的话,90%的杀软你直接一个基本结束线程的函数就能KO掉服务进程了。好了就这样,废话说多了。回来找kernel32地址。

大体姿势是这样:

FS--->TEB--->PEB---> PEB_LDR_DATA.InInitialzationOrderModuleList

1.FS寄存器指向的是TEB的地址。

2.TEB的偏移[0x30]处是PEB地址。

3.PEB里面偏移[0xc]处是PEB_LDR_DATA地址。

4.PEB_LDR_DATA结构体里面偏移[0xc]是InLoadOrderModuleList地址,

最低0.47元/天 解锁文章
Windows 驱动开发基础(九)内核函数
ikerpeng
08-26 3083
Windows 驱动开发基础系列,转载请标明出处: 这里主要介绍3类Windows的内核函数:字符串处理函数,文件操作函数, 注册表读写函数。(这些函数都是运行时函数,所以都有Rtl字样) 1 字符串处理函数 首先驱动程序中,常用的字符串包括4种:CHAR (打印的时候注意小写%s), WCHAR (打印的时候注意大写%S), ANSI_STRING, UNICODE_
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2448
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
获取Kernel32地址的几种方法
liwei8703的专栏
12-15 1450
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base:    mov eax, [esp+04h]     ;得到kernel32的返回地址    and
获得KERNEL32.DLL模块地址以及函数的地址
SUNE__学无止境
05-29 2944
一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a
关于kernel32地址获取
xrain_zh的专栏
03-27 5157
[-] 关于kernel32地址获取 一shellcode获取kernel32dll基地址获取当前进程的PID 文件名 以及完整路径 关于kernel32地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地址) 首先了解TEB,
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4711
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
反调试 - r3 使用 NtQuerySystemInformation 获取 KdKdDebuggerEnable 和 KdDebuggerNotPresent
墨鱼菜鸡
07-14 374
原理 NtQuerySystemInformation 被 ntdll.dll 导出,当第一个参数传入 0x23 (SystemInterruptInformation) 时,会返回一个 SYSTEM_KERNEL_DE...
R3LIVE源码解析(10) — R3LIVE中r3live_vio.cpp文件
几度春风里的博客
09-14 914
R3LIVE主要的公式推导在VIO上,所以我们来细细的分析这部分的功能。R3LIVE将VIO分成了两步,一是直接通过帧间的光流来追踪地图点,并且通过最小化追踪到的地图点的PNP投影误差来获取系统状态;二是通过这些地图点的出现的帧到地图的光度误差来优化状态。
getKernel32Address自实现(x64下写法)
bring_coco的博客
08-28 204
这个结构体要用到#include <ntdef.h>,但是我们已经包含了#include <windows.h>,一个内核级的一个windows的,那么会有很多函数重定义,会有重合,所以我们不要直接#include <ntdef.h>,而是使用将需要的复制出来单独写一个头文件。比如这样,我将需要的全部写到一个头文件,然后我在主代码中调用头文件。这样就不会重定义了,正常编译成功。
驱动下获取dll的函数地址
kuyz1的专栏
08-30 813
/************************************************************************ 获取baiDLL中的函数地址 lpFunctionName函数名称 pDllNameDLL文件名称 ************************************************************************/ /*******************************...
在进程中用户态地址如何得到物理地址
05-14 1994
3.9内核里drivers/staging/tidspbridge/core/tiomap3430.c中发现一个有意思的函数: /*  *  ======== user_va2_pa ========  *  Purpose:  *      This function walks through the page tables to convert a userland  *
kernel32 的 GetVersionExA/W
weixin_30396699的博客
02-13 231
今天接到一个问题,说Kernel32 模块的GetVersionEx 获取系统版本不准确, 然后让我查查什么原因, 我当时就想,它不准,就用ntdll的 RtlGetVersion 阿,或者RtlGetNtVersionNumbers,这不都行么, 那就看看为什么会出现 kernel32 的函数出现问题吧, 其实挺简单的,梳理一下调用过程 环境 Win10 x64 16299, 调...
写自己的内核模块——获取一个进程的物理地址
sium__的专栏
11-07 2998
首先,根据一个虚拟地址是可以得到物理地址的,这个内核模块是可以做到的。 大概就以下这几步: 1、得到当前进程的task_struct结构体(类似于current宏的实现) 2、得到进程的mm_struct结构体 3、搞一个虚拟地址(一个变量的地址或者一个函数的地址) 4、先得到pgd,然后根据pgd找到pud,根据pud找到pte,当当当当,你得到了该变量(或者函数)所在页面的页表表项地址
获取Kernel32地址的几种方法-相关结构
wowolook的专栏
04-01 4840
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
内核库函数Kernel32.exe提供的API
~ 飞 扬 的 天 空 ~
05-02 2415
内核库函数Kernel32.exe提供的API 函数名称  说明AddAtom 向本地原子表添加一个字符串AllocConsole 为当前进程分配一个新控制台AreFileApisANSI 确定一个WIN32文件函数集是否在使用ANSI或OEM字符集代码页BackupRead 向一缓冲区读进与给定文件相关联的数据BackupSeek 在访问数据流中向前搜索BackupWrite 将数据传送到指定的
从Entry Point到main函数调用(2):GetVersion
driftcloudy的专栏
05-19 193
之前(1)篇中大致介绍了mainCRTStartup,但是其中一些调用到的函数并未深究,现打算逐一剖析它们。   GetVersion GetVersion函数是kernel32.dll中提供的API,用于获取当前Win平台的版本。准确的说,GetVersion可以获得3个信息: 1. OSPlatformId 2. OSBuildNumber 3. OSMinorVersio...
获取Kernel32地址
最新发布
sagic的博客
03-05 802
当异常发生时,系统从fs:[0]指向的内存地址处取出ExceptionList字段,然后从ExceptionList字段指向的_EXCEPTION_REGISTRATION_RECORD结构中取出handler字段,并根据其中的地址去调用异常处理程序(回调函数)。异常处理链表是提到的由_EXCEPTION_REGISTRATION_RECORD结构构成的单链表。
获取内核地址的简单方法
dbyoung的Delphi专栏
07-22 1019
获取内核地址的函数,是否很简单。获取内核地址后,该干什么,你自己去想象吧! function GetKernel32Address: Cardinal; var   AAA                                             : Integer;   BBB, CCC, DDD, EEE, FFF, GGG                    : Po
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值