PEB中获取指定名称的DLL的基址

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.1k 收藏
点赞数
本文介绍了一种从进程环境块(PEB)中获取指定DLL基址的方法。通过遍历PEB中的InLoadOrderModuleList列表,将每个模块名称转换为ANSI字符串并与目标DLL名称进行比较,如果匹配则返回该DLL的基址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

//先从PEB中获取指定名称的DLL的基址

ULONG GetModuleHandleFromProcessPEB(ULONG Peb,char *szDllName)
{
 PPEB_LDR_DATA pLdrData;
 PLDR_DATA_TABLE_ENTRY pLdrDataEntry;
 PLIST_ENTRY pListHead,pListNext;
 ANSI_STRING ansiDllName;
 ULONG DllBase=0;
 __try
 {
  pLdrData=(PPEB_LDR_DATA)*(ULONG*)((char*)Peb+0xC);
  pListHead=&(pLdrData->InLoadOrderModuleList);
  pListNext=pListHead->Flink;
  for (pListHead;pListNext!=pListHead;pListNext=pListNext->Flink)
  {
   pLdrDataEntry=(PLDR_DATA_TABLE_ENTRY)pListNext;
   if (pLdrDataEntry->BaseDllName.Buffer)
   {
    RtlUnicodeStringToAnsiString(&ansiDllName,& (pLdrDataEntry->BaseDllName),TRUE);
    //dprintf("Base=0x%08X %s\n",pLdrDataEntry->DllBase,ansiDllName.Buffer);
    if (!_stricmp(szDllName,ansiDllName.Buffer))
    {
     DllBase=(ULONG)pLdrDataEntry->DllBase;
    }
    RtlFreeAnsiString(&ansiDllName);
    //若找到就退出循环
    if (DllBase) break;
   }//end of if
   
  }
  return DllBase;
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  DbgPrint("Error occured while searching module in PEB.\n");
  return 0;
 }
}

whowho
关注
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows 7,可以使用类似上述的技巧来编写能够找到kernel32.dll基址并调用其的函数,如`CreateProcess`,以启动calc.exe的shellcode。 总之,定位kernel32.dll基地址是编写跨平台、跨版本的Windows shellcode...
学习笔记通过PEB获取kernal32.dll基地址
popkun222的专栏
03-06 1354
原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll基址 ; 从PEB结构搜索kernel32.dll的基地址 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...
python找exe进程基地址的方法
楠丶俊枫的专栏
03-31 1318
可以使用psutil和ctypes库来获取exe进程的基地址。
如何查找python模块地址(所有皆适用)
chali0311的博客
06-30 4084
如何查找python模块地址(仅限 Mac!) 首先,打开你的编辑工具(如pycharm, vscode等)。 在这里举一个栗子,假设你想弄到numpy这个第三方模块在你这个编辑工具里的具体位置,你可以先想这个模块会用到哪些模块。 在这里,numpy模块既然是跟数学有关,就一定会用到math内置模块,所以,你先新建一个文件,叫做math.py,在里面输入以下内容: from numpy import * 当然,用import语句原版也是可以的,具体如下: import numpy 你在运行此文件的时候,
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2713
win10 x64内存注入DLL,可以躲避相关api检测模块
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2259
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
PEBGetAddress
08-25
PEBGetAddress这个程序显然旨在演示如何通过汇编语言来访问和利用PEB获取系统的关键基址。汇编语言是低级编程语言,常用于对系统底层操作,如内存管理和硬件交互,而MASM(Microsoft Macro Assembler)v10是一个...
Virus-Learning:感染PE文件的病毒学习过程
05-28
2)通过PEB获取kernel32.dll基址 感染PE文件 磁盘递归搜索技术 主要功能: 感染桌面上所有的exe后缀文件,使之弹出MessageBox,并继续运行原有程序 注意事项: 需要修改Desktop和sPath的路径为自己的桌面路径 如果...
易语言-eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
06-25
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64...
eWOW64Ext v1.1 - 加载任意 32/64 模块|64 位汇编及进程读写-易语言
06-12
但是这两个空间是同时存在且可以切换的,本模块就是通过该原理切换到 64 位地址空间获取 ntdll.dll 相关函数进行调用(注:此基址是 64 位的,与平常获取的 32 位模块基址截然不同); 也就是:wow 环境 -> 进入 x64...
通过PEB获取模块基址
whatday的专栏
09-24 1465
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA PEB结构 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptio...
获取DLL的基地址
IDoubleTong的博客
02-24 3004
(1)首先通过段选择器FS在内存找到当前的线程环境块TEB。 (2)线程环境块找到进程环境块PEB的指针。 (3)进程环境块找到指向PEB_LDR_DATA结构体的指针,其存放着已经被进程装载的动态链接库的信息。 (4)PEB_LDR_DATA结构体找到指向模块信息LIST_ENTRY链表的头指针。 (5)遍历_LIST_ENTRY链表,找到想要获取DLL的基地址。 1.TEB &nbs...
关于获取dll地址、加载指定dll
gangyankui7140的博客
05-27 1384
获取当前加载dll的地址: HMODULE m_hModule = _AtlBaseModule.GetModuleInstance();                                                   GetModuleFileNameW(m_hModule, pBuf, MAX_PATH);  加载指定dll: ::LoadLibraryEx(
Python Pymem 游戏内存基址读取修改 - 获取游戏DLL模块基址
热门推荐
TrapboT
03-05 1万+
python pymem对游戏内存模块读写
搜索PEB结构获取Kernel32.dll基址
strongxu的专栏
11-04 3190
    TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA     该结构的后三个成员是指向LDR_MODULE链表结构相应三条双向链表头的指针,分别是按照加载顺序、在内存地址顺序和初始化顺序排列的模块信息结构的指针。       Peb->Ldr->Initializat
获取模块句柄/基址
ko999123的博客
11-12 9473
#include HMODULE h = GetModuleHandle(NULL);// 传入对应模块名,NULL表示取当前模块 PS:可在属性->链接->高级->基址:修改基址
获取指定dll的某个函数的地址
冷却
10-14 1462
//作者:冷却//时间:2009年10月14日10:50:41#include #include void getDllFuncAddr(char* dllName, char* funcName){ HMODULE h = LoadLibrary(dllName); long addr = (long)GetProcAddress(h, funcName);
kernel32.dll基址
最新发布
02-11
### 查找 Kernel32.dll 的基地址 在 Windows 系统,`Kernel32.dll` 是一个核心动态链接库,其加载基址在每个进程通常是固定的。为了获取 `Kernel32.dll` 的基地址,可以利用特定的方法来实现。 #### 方法一:通过模块枚举 API 获取基地址 可以通过调用 Windows 提供的模块枚举 API 函数如 `EnumProcessModulesEx()` 或者更简单的 `GetModuleHandle()` 来获取已加载模块的信息,进而得到 `Kernel32.dll` 的基地址[^1]。 ```cpp #include <windows.h> #include <tlhelp32.h> #include <stdio.h> HMODULE GetKernelBaseAddress() { return GetModuleHandle(L"kernel32.dll"); } ``` 这段 C++ 代码展示了如何使用 `GetModuleHandle` 函数直接取得当前进程内已经加载的 `Kernel32.dll` 模块句柄,该句柄即为所求的基地址。 #### 方法二:遍历PEB结构的LDR数据表项 对于更加底层的操作,还可以访问进程环境块(PEB),其包含了指向加载器数据表 (LDR) 数据结构的指针。这些数据结构记录了所有被加载到内存DLL 文件及其相关信息,包括它们各自的映像基址。具体来说,可以从 PEB 读取 Ldr 字段并解析相应的链表节点直到找到名称匹配 "KERNEL32.DLL" 的条目为止[^2]。 需要注意的是,上述两种方法适用于不同的场景需求——前者简单易行适合大多数情况;后者则提供了更为灵活但也相对复杂的解决方案,尤其当目标不是当前运行的应用程序而是其他外部进程时显得尤为重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值