通用ShellCode学习笔记——win7中获得LoadLibraryA地址

本文介绍了一种在Windows 7环境下编写ShellCode的方法,包括如何遍历查询获取kernel32.dll地址,并进一步获取GetProcAddress及LoadLibraryA的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、ShellCode的编写

  1. Kernel32地址的获取

由于win7的_PEB_LDR_DATA表和以前的系统有了改变,直接查询0x08方式在win7下失效,为了保证shellcode的通用性(主要是增加对win7的支持),采用遍历查询的方式定位kernel32的位置

esi=fs:0->TEB

esi=TEB:30h->PEB

esi=PEB:0ch->_PEB_LDR_DATA

esi=_PEB_LDR_DATA:1ch->内存中的dll的地址

[esi]-> 内存中的下一个dll的地址(00h指向下一个Ldr_Module)

[esi+08h]->esi指向的地方的下一个dll的地址

edi->esi指向的地址的尾部

示意图:


 

 

 

 

我们需要找的kernel32.dll长度为12,用od跟踪发现kernel32.dll的函数名在内存中为“k e r n e l 3 2 . d l l”,即是说,我们查找到某个函数第24(12×2)的位置为空(字符串结尾),即是我们要找的kernel32.dll

 

代码:

push ebp

                    xor ecx,ecx

                    mov esi,fs:0x30

                    mov esi, [esi + 0x0C];

                    mov esi, [esi + 0x1C];

next_module:

                    mov ebp, [esi + 0x08];

                    mov edi, [esi + 0x20];

                    mov esi, [esi];

                    cmp [edi + 12*2],cl  

                    jne next_module

                    movedi,ebp;BaseAddr of Kernel32.dll

  1. GetProcAddress地址的获取

有了kernel32的地址以后,我们就可以方便的通过遍历的方式查询到GetProcAddress的地址

sub esp,100

                    movebp,esp;

                    moveax,[edi+3ch];pe header

                    movedx,[edi+eax+78h]

                    add edx,edi

                    movecx,[edx+18h];number of functions

                    movebx,[edx+20h]

                    addebx,edi;AddressOfName

search:

           dec ecx

           mov esi,[ebx+ecx*4]

           add esi,edi;

           moveax,0x50746547;PteG("GetP")

           cmp [esi],eax

           jne search

           moveax,0x41636f72;Acor("rocA")

           cmp [esi+4],eax

           jne search

           mov ebx,[edx+24h]

           add ebx,edi;indexaddress

           mov cx,[ebx+ecx*2]

           mov ebx,[edx+1ch]

           add ebx,edi

           mov eax,[ebx+ecx*4]

           add eax,edi

           mov [ebp+76],eax;将GetProcAddress地址存在ebp+76中

  1. LoadLibraryA地址的获取

通过调用API函数GetProcAddress获取LoadLibraryA的地址

    push 0;

           push DWORD PTR0x41797261;Ayra("aryA")

           push DWORD PTR0x7262694c;rbiL("Libr")

           push DWORD PTR0x64616f4c;daoL("Load")

           push esp

           push edi

           call [ebp+76]

           mov[ebp+80],eax;将LoadLibraryA地址存在ebp+80中

转载于:https://www.cnblogs.com/zodiac/archive/2010/09/19/1830968.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值