Kernel32.dll!BaseInitializeContext 反编译源码

最新推荐文章于 2024-08-12 23:15:08 发布
最新推荐文章于 2024-08-12 23:15:08 发布
阅读量2.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术 文章标签: c winapi 汇编 os
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/vcPlayer/article/details/6445221

近期反编译CreateProcessInternalW中的一小段函数:

BaseInitializeContext 为Kernel32.dll文件中一内部函数,其作用为即将创建的线程初始化上下文CONTEXT的结构。
由于每个OS及补丁的版本不同,Kernel32.dll都不尽相同。下文例子所使用的相关文件信息如下:

Kernel32.dll 的文件信息:

文件版本: 5.1.2600.5512 (xpsp.080413-2111)

MD5: BF1CDAF5792B78D4730727FACF307D46

 

      在汇编中,为结构成员赋值,通常的做法为把该结构的基地址传给一个寄存器,然后再用[register+offset]的方式来表示这个成员。这个函数中用到的最重要的结构就是CONTEXT了,下图为其成员偏移。有了这个图,就可以更轻松的理解汇编所表达的意思了。

      注意:如果结构变量为一栈变量(与当前代码所使用的堆栈相同),则变量的表示一般为[ebp-var_off],该变量的成员就直接表示为[ebp-var_off+mem_off]。var_off指代变量在栈中的基址,mem_off为结构成员的偏移,同上一种表示方法中的offset。

 

CONTEXT结构成员偏移图

void WINAPI BaseInitializeContext(CONTEXT* pContext, PPEB pPeb, PVOID pEntryPoint, DWORD dwInitESP, DWORD dwEipType)
{
 
 
l_7C810433:
 pContext->SegGs = 0;
 pContext->Eax = pEntryPoint;
 pContext->Ebx = pPeb;
 pContext->SegDS = pContext->SegES = pContext->SegSS = 0x20;
 pContext->SegFS = 0x38;
 pContext->SegCS = 0x18;
 pContext->EFlags
最低0.47元/天 解锁文章

200万优质内容无限畅学
win32 DLL 学习总结
bcbobo21cn的专栏
05-04 2195
DLL的开发与调用(一)——创建导出函数的Win32 DLL http://www.cnblogs.com/Pickuper/articles/2053745.html Visual C++6.0 中可实现的DLL          Visual C++6.0 支持自动生成Win32 DLL和MFC AppWizard DLL两种,其中Win32 DLL不使用MFC类库,其导
KERNEL32.DLL.v5系统库更新补丁及源代码分析
最新发布
weixin_42515392的博客
06-14 938
在深入了解Windows操作系统的内部工作机制时,我们不可避免地会接触到Kernel32.dll文件。作为Windows 32位操作系统的内核文件之一,它负责提供程序管理、内存管理、输入输出以及进程调度等核心功能。Kernel32.dll在系统稳定运行中扮演着至关重要的角色,因此,对于这一关键组件的更新和修复,必须采取慎重而精确的方法。
kernel32.dll
12-01
缺少kernel32.dll引起的问题,本文件包括kernel32.dll和其描述。
KERNEL32.zip
04-04
KERNEL32.zip windows dll
Kernel32.Lib
01-03
Kernel32.Lib
KERNEL32 API函数
12-16
一个非常全的KERNEL32[1].DLL API函数库文档。
逆向分析Kernel32.dll!BaseProcessStart函数
03-12 4857
Kernel32.dll!BaseProcessStart汇编代码如下:7C817054 ; __stdcall BaseProcessStart(x)7C817054 _BaseProcessStart@4 proc near ; CODE XREF: BaseProcessStartThunk(x,x)+5j7C8170547C817054 ms_exc = CPPEH_RE
动态获取kernel32.dll函数
01-04
动态获取kernel32.dll函数是指程序在运行时通过API调用来加载和使用kernel32.dll中的函数,而不是在编译时将这些函数的引用硬编码到程序的导入表中。这种方法可以实现更高级的代码控制和安全特性,例如避免被反汇编...
JNA.jar-JNative.jar-jinvoke.jar-dll创建-JAVA调用-VC调用
07-25
这个压缩包文件提供了关于如何在Java中调用C/C++编写的动态链接库(DLL)的示例,以及反向操作,即在C/C++中调用DLL。让我们详细探讨这些关键知识点。 首先,`JNA.jar`(Java Native Access)是Java平台上的一个...
au3反编译源码
01-22
au3反编译源码 myAut2Exe - The Open Source AutoIT Script Decompiler 2.9 ======================================================== *New* full support for AutoIT v3.2.6++ :) ... mmh here's what I ...
删除系统kernel32.dll文件导致电脑无法开机
03-11
记录一次客户服务武器操作失误,客户线上服务器系统是Windows server enterprise 2007(32位),不兼容视频插件Ffmpeg插件,修改系统文件C:\Windows\System32\kernel32.dllkernel32_1.dll文件名称后,服务器重启未还原kernel32_1.dll文件,导致开机蓝屏无法启动(或者重复启动)问题。
C++获取(32位)Kernel32 LoadLibrary等地址,并写入txt文件
MusicMan
06-06 2776
代码: // GetKernel32Info.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" using namespace std; int _tmain(int argc, _TCHAR* argv[]) { ofstream txtfile; txtfile.open(".\\kernel32info.txt",std::ios::out...
想把kernel32.DLL导出函数翻译为Delphi函数
f2378的专栏
01-30 516
最近看到一篇老文章,说的是使用GetCommandLine获取远程进程的命令行。我用Delphi重新实现了一下 function GetSysFuncAddr(AFunc: Pointer): Integer; begin   asm     mov eax, AFunc     add eax, 2     mov eax, [eax]     mov eax, [eax]
调用kernel32.dll读写参数
niuge8905的博客
01-06 1605
在做软件插件的时候,经常需要记住用户输入的动作,这个时候最容易想到的是用静态字段来保存结果,但是静态字段处理不好,容易占用大量内存,还会导致意向不到的错误,如果用kernel32.dll这个文件来生成ini文件来保存中间参数,会方便很多。 一些简单介绍,请参考: https://www.cnblogs.com/yuanyuan/archive/2010/12/08/1900191.html
windows逆向之Kernel32.dll
m0_57836225的博客
08-12 630
Kernel32.dll` 是 Windows 操作系统的一个重要的核心动态链接库(DLL),它提供了许多核心的底层函数和服务,用于支持 Windows 应用程序的运行。请注意,使用 Windows API 函数需要对 Windows 编程有一定的了解,并且不同的函数有不同的参数和返回值,需要根据具体的需求进行正确的使用和错误处理。您需要根据要使用的具体函数进行声明。
查看Linux内核源码,并进行内核配置
追风的博客
05-17 3429
make menuconfig 内核源码
ida 反编译 linux bin,使用IDA pro逆向ARM M系核心的Bin固件
weixin_39842519的博客
05-11 926
使用IDA pro逆向ARM M系核心的Bin固件​ 物联网和智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题。要不然是根本拿不到固件,要不然是拿到了Bin之后看不懂,这篇文章带大家手把手调教IDA pro,让他逆向无符号的Bin文件。一.意义​ 先说一下逆向固件的意义把,一般来说,这种小东西都会和...
ARM汇编[2] 反编译分析汇编代码
Aruko的博客
02-16 1303
我们不妨来反编译看一下GNU的汇编器是把C源代码怎样翻译成汇编的,看一下规范的做法,并学习一下我们写汇编程序时没有注意的地方。
详解驱动DLL注入技术与示例源码
- readme.txt: 这个文件很可能是驱动DLL注入源码的说明文档,提供了安装、配置、编译和使用源码的详细步骤和解释。 - NTProcDrv: 这个文件夹可能包含了NT驱动程序的源代码,用于在Windows内核模式下执行特定任务。 -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值