搜索PEB结构获取Kernel32.dll基址

最新推荐文章于 2025-03-05 11:18:04 发布

转载最新推荐文章于 2025-03-05 11:18:04 发布 · 78 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/Y4ng/archive/2012/01/07/2315883.html

文章标签：

#数据结构与算法

本文详细介绍了Windows操作系统中PEB结构的作用及其内部指针的使用方式，特别是PEB_LDR_DATA结构中的ldr指针如何指向不同排序的LDR_MODULE链表，包括初始化顺序链表，以及如何通过汇编语言获取kernel32.dll的相关信息。

TEB偏移0x30处，即FS:[0x30]地址处保存着一个指针，指向PEB，PEB结构的偏移0xC处保存着另外一个指针ldr，该指针执行PEB_LDR_DATA

该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针，分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。

Peb->Ldr->InitializationOrderModuleList指向按照初始化顺序排序的第一个LDR_MODULE节点的InInitializationOrderModuleList成员的指针，在WinNT平台下，该链表头节点的LDR_MODULE结构包含的是NTDLL.DLL，而链表的下一个节点所包含的就是Kernel32.dll相关的信息。

汇编核心代码：

MOV EAX, DWORD PTR FS:[30] ;获取PEB基址

MOV EAX, DWORD PTR DS:[EAX+C] ;获取PEB_LDR_DATA结构指针

MOV ESI, DWORD PTR DS:[EAX+1C] ;获取InInitializationOrderModuleList成员指针

LODS DWORD PTR DS:[ESI] ;获取双向链表当前节点的后继指针

MOV EBX, DWORD PTR DS:[EAX+8] ;取其基地址，该结构当前包含的是kernel32.dll

转载于:https://www.cnblogs.com/Y4ng/archive/2012/01/07/2315883.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30908649

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

第10章 shellcode实战：05 原则：Kernel32基址的获取

李小咖·网安技术库

05-01

1252

简单说，kernel32基址是指kernel32.dll这个动态链接库加载到内存中后，它内存最开始的位置。任何一个exe加载到内存执行的时候，它所用到的动态链接库（dll）也都需要加载到内存中，才能够使用这个dll中的导出函数。在shellcode中，因为不存在PE结构，所以对每一个用到的函数所对应的dll文件，都需要我们手动去加载（即映射到内存）。比如我们要使用socket()这个函数，就需要先将这个函数所在的ws2_32.dll映射到内存，一般我们可以使用LoadLibrary这个函数来实现。

确定kernel32.dll基址的方法

annhf的专栏

12-01

3515

kernel32.dll这个文件十分重要，它包含很了我们需要使用的函数。比如说，GetProcAdress和LoadLibraryA这个两个函数。想想，通过这两个函数我们就可以得到所有的函数。如果我们确定了这个动态链接库文件的基址，就可以找到这两个函数的偏移量。怎么确定这个动态链接库的基址呢？这里一共有三个方法1PEBpeb是process environment block的缩写，每个进程都对

参与评论您还未登录，请先登录后发表或查看评论

搜索PEB的相关结构获取Kernel32.DLL的基址

FISH 的专栏

01-29

1536

学习笔记通过PEB获取kernal32.dll基地址

popkun222的专栏

03-06

1433

原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll的基址 ; 从PEB结构中搜索kernel32.dll的基地址 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...

kernel32.dll基址

ListenerForTom的博客

04-01

928

得到KERNEL32.DLL基址的方法assume fs:nothing ;打开FS寄存器 mov eax,fs:[30h] ;得到PEB结构地址 mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址 mov esi,[eax + 1ch] ;InInitializationOrderModuleList l

获取Kernel32基地址

最新发布

sagic的博客

03-05

828

当异常发生时，系统从fs:[0]指向的内存地址处取出ExceptionList字段，然后从ExceptionList字段指向的_EXCEPTION_REGISTRATION_RECORD结构中取出handler字段，并根据其中的地址去调用异常处理程序（回调函数）。异常处理链表是提到的由_EXCEPTION_REGISTRATION_RECORD结构构成的单链表。

《Windows PE》9.2 动态加载技术-获取kernel32.dll基址

bcdaren的博客

10-23

1513

上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL，然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法，实现对DLL动态链接库中函数的调用。简单来说，需要经过以下三步：步骤1获取kernel32.dll的基地址。

Win 7下定位kernel32.dll基址及shellcode编写1

08-03

在Windows 7中，可以使用类似上述的技巧来编写能够找到kernel32.dll基址并调用其中的函数，如`CreateProcess`，以启动calc.exe的shellcode。总之，定位kernel32.dll基地址是编写跨平台、跨版本的Windows shellcode...

C++如何测试dll_Windows x86 Shellcode开发：寻找Kernel32.dll地址

weixin_39807691的博客

11-20

319

前言针对一个已经学习了Linux Shellcode开发，并开始在Windows上尝试的研究人员来说，这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此，但Linux内核要比Windows更容易理解，原因在于其开源的特性，并且与Windows相比，Linux只具有相当少的功能。另一方面，Windows在过去几年中进行了重大的改进，由于这一改进，新版本与老版...

使用 C++ 在当前进程中获取指定模块的基址

qq_62989250的博客

05-30

1255

使用 C++ 在当前进程中获取指定模块的基址

转载获得kernel32.dll基地址

Breaking The Secretes

05-01

1338

获取kernel32.dll映像基址很久不写关于技术的东西了，由于最近在研究内嵌汇编和机器码的注入，故把下面这段代码列出来。其中C/C++的部分和inline asm的最后一句是我写的。自评：极其缺乏原创精神。

C++内存地址分配和内存区划分简介

silenough的专栏

07-07

6639

第一部分 C++内存地址分配简介 1 内存地址是从高地址到低地址进行分配的： int i=1; int j=1; cout 2 函数参数列表的存放方式是，先对最右边的形参分配地址，后对最左边的形参分配地址。 3 Little-endian模式的CPU对操作数的存放方式是从低字节到高字节的 0x1234的存放方式入下： 0X4000 0x34 0X4001 0x12

获取kernel32.dll基址

bcbobo21cn的专栏

01-03

5919

获取kernel32.dll基址一原理和概述找kernel32基地址的方法一般有三种：暴力搜索法、异常处理链表搜索法、PEB法。暴力搜索法是最早的动态查找kernel32基地址的方法。它的原理是: 几乎所有的win32可执行文件（pe格式文件）运行的时候都加载kernel32.dll，可执行文件进入入口点执行后esp中存放的一般是 Ker

peb获取kernel32基址，用第一和第二种

收集学习过程中对自己有帮助的牛人文章

10-15

1851

通过PEB枚举当前进程空间中用户模块列表也可以获取Kernel32模块的基地址，fs:[0]指向TEB，fs:[30h]指向PEB，PEB偏移0ch是LDR指针，以下可以分别通过加载顺序、内存顺序、初始化顺序获取Kernel32模块的基地址，这里以初始化顺序为例：未公开的LDR_MODULE数据结构如下： typedef struct _LDR_MODULE { LIST

Windows x64平台获取PEB表，并获取kernel32.dll的基址,并获取它的函数

MusicMan

05-31

5610

参考了：https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一位博主话不多说，进入正题：首先是获取PEB基址，先得懂怎么在64位平台嵌入汇编代码：参考这位博主https://blog.csdn.net/Giser_D/article/details/90670974 汇编代码： .CODE GetPeb PRO...

Windows x64位通过PEB获得Kernel32基地址

weixin_30294295的博客

02-08

1195

在64位系统下 gs:[0x30] 指向TEB gs:[0x60] 指向PEB kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x000 ExceptionList : Ptr64 _EXCEPTION_REGISTRATION_RECORD +0x00...

获得KERNEL32.DLL模块地址以及函数的地址

SUNE__学无止境

05-29

2953

一、通过PEB获得DWORD getKernel32BaseAddrByPEB() { PVOID pPeb = NULL; PVOID pLdr = NULL; PVOID pFlink = NULL; PVOID ptemp = NULL; PVOID BaseAddr = NULL; PVOID pFullName = NULL; __a