获取Kernel32地址

如果是搞PE变形或者PE重构,再或者代码注入,很多时候我们要动态获取Loadlibrary()以及GetPeocAddress()两个函数的地址,通过这两个函数再动态获取其他函数地址,这样就可以免导入了。不然导入表里会暴露自己的调用。

对于静态PE文件重组来说,可以通过查看原有的PE文件是不是调用了这两个,或者加载了Kernell32.dll(通常都是已经加载了的),然后获取原来的地址,再自己调用。

而对于代码注入这种内存里跑的,通常是在注入程序里自己获取了相关函数的地址(同一一个运行的系统中,多个进程获取到的这两个函数的地址是一样的)so....

这次是直接通过其他方法获取kernel32的地址,通常用在PE文件变形中。主要还是处理内嵌机器码对导入表的依赖问题。

Ok就在刚刚搜索相关资料的时候,我发现有人通过类似姿在R3层隐藏DLL的调用。一会总结完这个再学习下那个东西。

获取Kernel32的地址网上也有很多姿势,我总结一个我觉得靠谱的,之前一直在研究驱动相关,想在R0搞一些事情,很多时候都要通过统配标识符来定位相关地址,比如Hook SSDT,64位里很多东西都要通过寻找特征码来找,要么就通过回调,但是因为是要搞事情,很多时候回调搞不定。So...,但是面临的问题就是寻找特征码这个姿势并不稳定,很容易就出问题。你分析了XP win7 win10 那么写了个代码,测试OK敢上线吗?一个问题是不同系统之间可能不一样,同一个系统之间不同版本也可能不同,没有公开的东西,微软有权利随便更改结构(虽然通常不会改,以为没必要)。最后导致的不兼容等蓝屏问题,这个锅当然也是自己背,尤其是做产品,很多时候我们要记住,自己是产品,不是什么外挂和小众软件。很多时候,用户并不懂,蓝屏了的话就是你产品不行,不管你采取了多底层的保护方式,所以很多安全厂商也不想在自己的产品上做减法。这也是为什么如果你搞对抗,就会发现64位出来之后,很多杀软都变得低调了很多,经过测试,在R0里的话,90%的杀软你直接一个基本结束线程的函数就能KO掉服务进程了。好了就这样,废话说多了。回来找kernel32地址。

大体姿势是这样:

FS--->TEB--->PEB---> PEB_LDR_DATA.InInitialzationOrderModuleList

1.FS寄存器指向的是TEB的地址。

2.TEB的偏移[0x30]处是PEB地址。

3.PEB里面偏移[0xc]处是PEB_LDR_DATA地址。

4.PEB_LDR_DATA结构体里面偏移[0xc]是InLoadOrderModuleList地址,得到这个链表地址之后往下走两个位置就是kernel32.dll模块了,到了这个模块之后偏移[0x18]就是存的地址。

我写了个C++函数。

HMODULE GetKernel32BaseAddress() {

HMODULE hsKernel32BaseAddress = 0;

__asm {

mov ebx, fs:[0x30]         //得到peb结构体的地址

mov ebx, [ebx + 0xc]       //得到Ldr结构体的地址

mov ebx, [ebx + 0xc]       //得到ldr.InLoadOrderModuleList.Flink 第一个模块,当前进程

mov ebx, [ebx]             //得到第二个模块地址 ntdll.dll

mov ebx, [ebx]             //得到第三个模块地址 kernel32.dll

mov ebx, [ebx + 0x18]        //得到第三个模块地址(kernel32模块的dllbase)

mov hsKernel32BaseAddress, ebx

}

return hsKernel32BaseAddress;

}

测试代码如下:

int main() {

HMODULE hdKernel32BaseAddress1 = GetKernel32BaseAddress();

HMODULE hdKernel32BaseAddress2 = LoadLibrary(L"Kernel32.dll");

hdKernel32BaseAddress1 == hdKernel32BaseAddress2 ?

MessageBox(NULL, L"yes", L"hi", MB_OK) :

MessageBox(NULL ,L"no" ,L"hi" ,MB_OK);

return 0;

}

OK这样就可以了,我是随机测了几个系统XP Win7 Win10。

如果是要上线到产品模块,记得要详细测试。最后是提供三个结构体定义,方便看细节。PEB_LDR_DATA、TEB、PEB。

typedef struct _PEB_LDR_DATA

{

     ULONG Length;

     UCHAR Initialized;

     PVOID SsHandle;

     LIST_ENTRY InLoadOrderModuleList;

     LIST_ENTRY InMemoryOrderModuleList;

     LIST_ENTRY InInitializationOrderModuleList;

     PVOID EntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

//

// Thread Environment Block (TEB)

//

typedef struct _TEB

{

    NT_TIB Tib;                             /* 00h */

    PVOID EnvironmentPointer;               /* 1Ch */

    CLIENT_ID Cid;                          /* 20h */

    PVOID ActiveRpcHandle;                  /* 28h */

    PVOID ThreadLocalStoragePointer;        /* 2Ch */

    struct _PEB *ProcessEnvironmentBlock;   /* 30h */

    ULONG LastErrorValue;                   /* 34h */

    ULONG CountOfOwnedCriticalSections;     /* 38h */

    PVOID CsrClientThread;                  /* 3Ch */

    struct _W32THREAD* Win32ThreadInfo;     /* 40h */

    ULONG User32Reserved[0x1A];             /* 44h */

    ULONG UserReserved[5];                  /* ACh */

    PVOID WOW32Reserved;                    /* C0h */

    LCID CurrentLocale;                     /* C4h */

    ULONG FpSoftwareStatusRegister;         /* C8h */

    PVOID SystemReserved1[0x36];            /* CCh */

    LONG ExceptionCode;                     /* 1A4h */

    struct _ACTIVATION_CONTEXT_STACK *ActivationContextStackPointer; /* 1A8h */

    UCHAR SpareBytes1[0x28];                /* 1ACh */

    GDI_TEB_BATCH GdiTebBatch;              /* 1D4h */

    CLIENT_ID RealClientId;                 /* 6B4h */

    PVOID GdiCachedProcessHandle;           /* 6BCh */

    ULONG GdiClientPID;                     /* 6C0h */

    ULONG GdiClientTID;                     /* 6C4h */

    PVOID GdiThreadLocalInfo;               /* 6C8h */

    ULONG Win32ClientInfo[62];              /* 6CCh */

    PVOID glDispatchTable[0xE9];            /* 7C4h */

    ULONG glReserved1[0x1D];                /* B68h */

    PVOID glReserved2;                      /* BDCh */

    PVOID glSectionInfo;                    /* BE0h */

    PVOID glSection;                        /* BE4h */

    PVOID glTable;                          /* BE8h */

    PVOID glCurrentRC;                      /* BECh */

    PVOID glContext;                        /* BF0h */

    NTSTATUS LastStatusValue;               /* BF4h */

    UNICODE_STRING StaticUnicodeString;     /* BF8h */

    WCHAR StaticUnicodeBuffer[0x105];       /* C00h */

    PVOID DeallocationStack;                /* E0Ch */

    PVOID TlsSlots[0x40];                   /* E10h */

    LIST_ENTRY TlsLinks;                    /* F10h */

    PVOID Vdm;                              /* F18h */

    PVOID ReservedForNtRpc;                 /* F1Ch */

    PVOID DbgSsReserved[0x2];               /* F20h */

    ULONG HardErrorDisabled;                /* F28h */

    PVOID Instrumentation[14];              /* F2Ch */

    PVOID SubProcessTag;                    /* F64h */

    PVOID EtwTraceData;                     /* F68h */

    PVOID WinSockData;                      /* F6Ch */

    ULONG GdiBatchCount;                    /* F70h */

    BOOLEAN InDbgPrint;                     /* F74h */

    BOOLEAN FreeStackOnTermination;         /* F75h */

    BOOLEAN HasFiberData;                   /* F76h */

    UCHAR IdealProcessor;                   /* F77h */

    ULONG GuaranteedStackBytes;             /* F78h */

    PVOID ReservedForPerf;                  /* F7Ch */

    PVOID ReservedForOle;                   /* F80h */

    ULONG WaitingOnLoaderLock;              /* F84h */

    ULONG SparePointer1;                    /* F88h */

    ULONG SoftPatchPtr1;                    /* F8Ch */

    ULONG SoftPatchPtr2;                    /* F90h */

    PVOID *TlsExpansionSlots;               /* F94h */

    ULONG ImpersionationLocale;             /* F98h */

    ULONG IsImpersonating;                  /* F9Ch */

    PVOID NlsCache;                         /* FA0h */

    PVOID pShimData;                        /* FA4h */

    ULONG HeapVirualAffinity;               /* FA8h */

    PVOID CurrentTransactionHandle;         /* FACh */

    PTEB_ACTIVE_FRAME ActiveFrame;          /* FB0h */

    PVOID FlsData;                          /* FB4h */

    UCHAR SafeThunkCall;                    /* FB8h */

    UCHAR BooleanSpare[3];                  /* FB9h */

} TEB, *PTEB;

typedef struct _PEB

{

    UCHAR InheritedAddressSpace; // 00h

    UCHAR ReadImageFileExecOptions; // 01h

    UCHAR BeingDebugged; // 02h

    UCHAR Spare; // 03h

    PVOID Mutant; // 04h

    PVOID ImageBaseAddress; // 08h

    PPEB_LDR_DATA Ldr; // 0Ch

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters; // 10h

    PVOID SubSystemData; // 14h

    PVOID ProcessHeap; // 18h

    PVOID FastPebLock; // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine; // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine; // 24h

    ULONG EnvironmentUpdateCount; // 28h

    PVOID* KernelCallbackTable; // 2Ch

    PVOID EventLogSection; // 30h

    PVOID EventLog; // 34h

    PPEB_FREE_BLOCK FreeList; // 38h

    ULONG TlsExpansionCounter; // 3Ch

    PVOID TlsBitmap; // 40h

    ULONG TlsBitmapBits[0x2]; // 44h

    PVOID ReadOnlySharedMemoryBase; // 4Ch

    PVOID ReadOnlySharedMemoryHeap; // 50h

    PVOID* ReadOnlyStaticServerData; // 54h

    PVOID AnsiCodePageData; // 58h

    PVOID OemCodePageData; // 5Ch

    PVOID UnicodeCaseTableData; // 60h

    ULONG NumberOfProcessors; // 64h

    ULONG NtGlobalFlag; // 68h

    UCHAR Spare2[0x4]; // 6Ch

    LARGE_INTEGER CriticalSectionTimeout; // 70h

    ULONG HeapSegmentReserve; // 78h

    ULONG HeapSegmentCommit; // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold; // 80h

    ULONG HeapDeCommitFreeBlockThreshold; // 84h

    ULONG NumberOfHeaps; // 88h

    ULONG MaximumNumberOfHeaps; // 8Ch

    PVOID** ProcessHeaps; // 90h

    PVOID GdiSharedHandleTable; // 94h

    PVOID ProcessStarterHelper; // 98h

    PVOID GdiDCAttributeList; // 9Ch

    PVOID LoaderLock; // A0h

    ULONG OSMajorVersion; // A4h

    ULONG OSMinorVersion; // A8h

    ULONG OSBuildNumber; // ACh

    ULONG OSPlatformId; // B0h

    ULONG ImageSubSystem; // B4h

    ULONG ImageSubSystemMajorVersion; // B8h

    ULONG ImageSubSystemMinorVersion; // C0h

    ULONG GdiHandleBuffer[0x22]; // C4h

    PVOID ProcessWindowStation; // ???

} PEB, *PPEB;

宋孖健,13

R3获取kernel32地址的更多相关文章

  1. 旧书重温:0day2【2】 实验:三种获取kernel32.dll基址的方法

    0x01 找kernel32基地址的方法一般有三种: 暴力搜索法.异常处理链表搜索法.PEB法. 0x02 基本原理 暴力搜索法是最早的动态查找kernel32基地址的方法.它的原理是几乎所有的win ...

  2. 旧书重温:0day2【4】动态获取函数地址

    通过以上3篇文章的学习,我们已经可以获取到kernel32.dll的地址了下一步 我们就是获取几个重要的函数 1.GetProcAddress 2.LoadLibrary 有了这两个函数很多函数都可以 ...

  3. FS获取KERNEL32基址的三种方法

    FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberD ...

  4. Atitit onvif协议获取rtsp地址播放java语言 attilx总结

    Atitit onvif协议获取rtsp地址播放java语言 attilx总结 1.1. 获取rtsp地址的算法与流程1 1.2. Onvif摄像头的发现,ws的发现机制,使用xcf类库1 2. 调用 ...

  5. windows下获取IP地址的两种方法

    windows下获取IP地址的两种方法: 一种可以获取IPv4和IPv6,但是需要WSAStartup: 一种只能取到IPv4,但是不需要WSAStartup: 如下: 方法一:(可以获取IPv4和I ...

  6. 【PHP开发篇】一个统计客户端商机提交的获取IP地址

    1.对客服提交数据的ip地址记录. 获取ip地址的方法: public function getIP() { global $ip; if (getenv("HTTP_X_REAL_IP&q ...

  7. 获取 IP 地址

    package j2se.core.net.base; import java.net.InetAddress;import java.net.UnknownHostException; public ...

  8. php怎么获取mac地址?

    如何用php获取mac地址呢?大家知道mac地址是电脑在全球范围的唯一标识,所以这个就非常实用,比如说要做一个投票功能,那mac地址是必不可少 的,如果单纯的靠ip地址来判断这个肯定是不准确的,水分太 ...

  9. Servlet获取URL地址

    这里来说说用Servlet获取URL地址.在HttpServletRequest类里,有以下六个取URL的函数: getContextPath 取得项目名 getServletPath 取得Servl ...

随机推荐

  1. MarkFormat,一个在Word中使用Mark进行格式化的插件

    MarkFormat(标记格式化),是一款在Word中基于标记进行格式化的工具. 让我们看下具体效果. 首先是有标记的文本 点击格式化之后 点击去除标记之后(去除标记也会进行格式化) 如果想要恢复标记 ...

  2. 【RocketMQ源码分析】深入消息存储(1)

    最近在学习RocketMQ相关的东西,在学习之余沉淀几篇笔记. RocketMQ有很多值得关注的设计点,消息发送.消息消费.路由中心NameServer.消息过滤.消息存储.主从同步.事务消息等等. ...

  3. Intellij IDEA实用插件Lombok

    使用@Data注解后 可以不用给属性添加get.set方法也可以使用get.set方法,但是必须添加lombok Plugin插件 1 打开设置Setting,选中Plugins,搜索并安装Lombo ...

  4. 二叉树的建立与遍历(c语言)入门

    树其实在本质上就是一对多,链表就是一对一. 二叉树的建立: 这里的代码采用的是最粗暴的创建方法,无实际用处.但初次学习二叉树可以通过这个创建方法更好的理解二叉树. 二叉树的遍历: 遍历在大体上分为递归 ...

  5. OpenCV图像处理中的“机器学习"技术的使用

    注意,本文中所指"机器学习"(ML)技术,特指SVM.随机森林等"传统"技术. 一.应用场景        相比较当下发展迅速的各路"端到端" ...

  6. 在 .NET Core 中使用 ViewConfig 调试配置

    介绍 .NET Core 中的配置包含了多个配置提供程序,包括了 appsettings.json,环境变量,命令行参数等,还有一些扩展的自定义提供程序,比如说 ApolloConfig,AgileC ...

  7. java例题_12 奖金问题(暴力破解)

    1 /*12 [程序 12 计算奖金] 2 题目:企业发放的奖金根据利润提成. 3 利润I低于或等于 10 万元时,奖金可提 10%: 4 利润高于 10 万元,低于 20 万元时,低于 10 万元的 ...

  8. SpringBoot-08 SpringSecurity

    SpringBoot-08 SpringSecurity 创建了一个新项目,创建时选择导入starter-web 1.环境搭建 1.1 导入thymeleaf <dependency> & ...

  9. WordPress的SEO优化技巧

    世界上大约有30%的网站都是由Wordpress搭建的,因为Wordpress自身构架清晰,代码规范,且网页评论直接书写在整个页面里,能够被搜索引擎检索到,因此对搜索引擎很友好.但有时候还是会出现只被 ...

  10. 封装一个处理 react 异常的最简 ErrorBoundary 组件 🎅

    前言 从 React 16 开始,引入了 Error Boundaries 概念,它可以捕获它的子组件中产生的错误,记录错误日志,并展示降级内容,具体 官网地址. 错误边界避免一个组件错误导致整个页面 ...