寻找kernel32.dll的地址

为了寻找kernel32.dll的地址,可以直接输出,也可以通过TEB,PEB等查找。

 

寻找TEB:

dt _TEB


nt!_TEB
+0x000 NtTib : _NT_TIB
+0x01c EnvironmentPointer : Ptr32 Void
+0x020 ClientId : _CLIENT_ID
+0x028 ActiveRpcHandle : Ptr32 Void
+0x02c ThreadLocalStoragePointer : Ptr32 Void
+0x030 ProcessEnvironmentBlock : Ptr32 _PEB
+0x034 LastErrorValue : Uint4B

0x30处就是PEB

 

dt _PEB
nt!_PEB
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
+0x002 BeingDebugged : UChar
+0x003 BitField : UChar
+0x003 ImageUsesLargePages : Pos 0, 1 Bit
+0x003 IsProtectedProcess : Pos 1, 1 Bit
+0x003 IsLegacyProcess : Pos 2, 1 Bit
+0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit
+0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit
+0x003 SpareBits : Pos 5, 3 Bits
+0x004 Mutant : Ptr32 Void
+0x008 ImageBaseAddress : Ptr32 Void
+0x00c Ldr : Ptr32 _PEB_LDR_DATA
+0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS

0x0C处是 LDR

 


dt _PEB_LDR_DATA

nt!_PEB_LDR_DATA
+0x000 Length : Uint4B
+0x004 Initialized : UChar
+0x008 SsHandle : Ptr32 Void
+0x00c InLoadOrderModuleList : _LIST_ENTRY
+0x014 InMemoryOrderModuleList : _LIST_ENTRY
+0x01c InInitializationOrderModuleList : _LIST_ENTRY
+0x024 EntryInProgress : Ptr32 Void
+0x028 ShutdownInProgress : UChar
+0x02c ShutdownThreadId : Ptr32 Void

InMemoryOrderModuleList 是嵌套在一个更大的结构体 _LDR_DATA_TABLE_ENTRY 里面

dt _LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY
+0x000 InLoadOrderLinks : _LIST_ENTRY
+0x008 InMemoryOrderLinks : _LIST_ENTRY       //就是InMemoryOrderModuleList
+0x010 InInitializationOrderLinks : _LIST_ENTRY
+0x018 DllBase : Ptr32 Void

第二参数就是我们要找的而_LIST_ENTRY表示结构体中的单个元素,InMemoryOrderLinks位于结构体首地址偏移8字节处

其Flink和Blink并不指向临近结构的第一个字节,相反它们引用了临近结构的地址。每个结构的地址
正好是第一个成员的地址Flink。
所以为了得到相邻结构的地址,需要从Flink中减去8字节的偏移。

下面是两种得到kernel32.dll地址的方法

VOID Sub_1();
int main()
{Sub_1();HMODULE v1 = NULL;
v1 = LoadLibrary(L"kernel32.dll");    //加载DLL
printf("0x%08p\r\n", v1);return 0;
}VOID Sub_1()
{
int address = 0;
__asm
{
xor ebx, ebx;
mov ebx, fs:[0x30];
mov ebx, [ebx + 0x0c];
mov ebx, [ebx + 0x14];
mov ebx, [ebx];
mov ebx, [ebx];
mov ebx, [ebx + 0x10];
mov address, ebx;
}
printf("0x%08p\r\n", address);
}

 


我的测试结果是 0x76C00000


在用户模式下,TEB的创建方式总是相同的,与该地址对应的段选择器自动放置在FS段寄存器中,TEB的偏移地址总是0.
TEB的地址可以被表示为 FS:00000000H.

 

转载于:https://www.cnblogs.com/kekoukele987/p/7484952.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/282475.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

layui弹出层使用(layer.alert / layer.open / layer.prompt )

layui弹出层使用(layer.alert / layer.open / layer.prompt )

一 layer.alert 效果图: 代码: //取消提现 function back(id) {layer.alert(真的要取消吗, {skin: layui-layer-molv //样式类名 自定义样式,closeBtn: 1 // 是否显示关闭按钮,anim: 1 //动画类型,btn: [确定,取消] //按钮,icon: 6 // icon,yes:function(){return $.aj…
阅读更多...
SkiaSharp 自绘弹幕效果

SkiaSharp 自绘弹幕效果

SkiaSharp 自绘弹幕效果控件名:SkiaSharpBarrage作者: 驚鏵原文链接: https://github.com/yanjinhuagood/SkiaSharpBarrage框架使用.NET60;Visual Studio 2022;项目使用 MIT 开源许可协议;接着上一篇 WPF 弹幕上期有…
阅读更多...
JavaScript中this指向

JavaScript中this指向

一.重点来了,this指向问题:1.this指向之普通函数。 2.this指向之对象 3.this指向之构造函数 4.this指向之(call,apply)动态更改this指向。 二.具体分析如下 1.普通函数 // 第23行的调用者为null,this指向也为null,// 所以这时js把…
阅读更多...
【python】python中的定义类属性和对像属性

【python】python中的定义类属性和对像属性

python中变量是没有类型的可以绑定任意类型,但是在语法上不能声明变量。 那我们怎麽来声名一个变量呢? fNone 这样我们给着个变量绑定了以各None类型,我们随时可用重新绑定其它类型。这样我们起到了预先声名变量的效果。 类中如何去定义类的…
阅读更多...
提交Form表单,submit之前做js判断处理

提交Form表单,submit之前做js判断处理

效果:在点击提交按钮时,首先进行js判断, 如果不符合条件,则alert出提示信息,并return false. 主要点就在于给form表单添加一个onsubmit事件. 在onsubmit事件中定义的函数里进行js验证处理.代码 : <!DOCTYPE html> <html lang"en"> <head><meta …
阅读更多...
如何在Windows上一键部署PaddleOCR的WebAPI服务

如何在Windows上一键部署PaddleOCR的WebAPI服务

PaddleOCR旨在打造一套丰富、领先、且实用的OCR工具库&#xff0c;助力开发者训练出更好的模型&#xff0c;并应用落地。官方开源项目地址&#xff1a;https://github.com/PaddlePaddle/PaddleOCR一定会有小伙伴们看完不知道如何部署与应用&#xff0c;怎么才能融入到自己的产品…
阅读更多...
微软为 Visual Studio 扩展添加对 Arm64 的支持

微软为 Visual Studio 扩展添加对 Arm64 的支持

微软在 6 月份推出了支持 Arm64 架构的 Visual Studio&#xff0c;这是第一个原生支持在基于 Arm 的处理器上构建和调试 Arm64 应用程序的 Visual Studio 版本。近日&#xff0c;他们宣布为 Visual Studio 扩展也添加了对 Arm64 的支持&#xff0c;因此开发者可在 Arm64 Visual…
阅读更多...
WIN10 查看已经连接的wifi的密码

WIN10 查看已经连接的wifi的密码

命令行: 1. 显示以前连接过的wifi2. 将wifi配置存入文件中3. 查看刚刚保存的wifi配置的文件这样,我们就可以看到连接的wifi名称和wifi密码了.
阅读更多...
ubantu 重启mysql

ubantu 重启mysql

如何启动/停止/重启MySQL一、 启动方式1、使用 service 启动&#xff1a;service mysql start2、使用 mysqld 脚本启动&#xff1a;/etc/inint.d/mysql start3、使用 safe_mysqld 启动&#xff1a;safe_mysql&二、停止1、使用 service 启动&#xff1a;service mysql stop2…
阅读更多...
C++ 反射机制的简单实现

C++ 反射机制的简单实现

C并不支持反射机制&#xff0c;只能自己实现。 如果需要实现字字符串到函数到映射&#xff0c;一定要使用到函数指针。 简单实现反射机制&#xff0c;根据字符串来构造相应到类。主要有以下几点&#xff1a; (1) 可以使用map保存字符从到函数指针到映射。 (2) 工厂类提供字符串…
阅读更多...
微软与 Canonical 合作,将 systemd 引入 WSL

微软与 Canonical 合作,将 systemd 引入 WSL

微软和 Canonical 联合宣布&#xff0c;systemd 现在可以在 Windows Subsystem for Linux&#xff08;WSL2&#xff09;中运行了&#xff0c;此举可以让用户在 Windows 设备上获得更加全面的 Linux 体验。systemd 的作者 Lennart Poettering 在 7 月份离开红帽并加入了微软&…
阅读更多...
项目中遇到难题一 : 多条件筛选(同一本小说具有多个特征)

项目中遇到难题一 : 多条件筛选(同一本小说具有多个特征)

效果图:难点:解决方式:控制器:模型:
阅读更多...
vsftpd配置

vsftpd配置

1.) yum install -y vsftpd 2.) useradd -g ftp -s /sbin/nologin afcupload (默认生成/home/afcupload, 可使用 -d参数自定义主目录生成位置) 3.) passwd afcupload 4.) chgrp -R ftp afcupload 5.) chown -R afcupload:ftp afcupload 6.) chmod -R 700 afcupload 4.) 修…
阅读更多...
2017.9.6数学

2017.9.6数学

集合&#xff1a;一个可以代表一类事物或数据的代词。&#xff08;个人定义&#xff09; &#xff08;其内容带有辅助功效【个人记不下来】&#xff09;自然数&#xff1a;所有的非负整数。 有理数&#xff1a;是可以用正数和分数代表的数。实数&#xff1a;包括有理数和无理数…
阅读更多...
.NET 反向代理-YARP 根据域名转发

.NET 反向代理-YARP 根据域名转发

编者&#xff1a;fastgithub 就是基于YARP使用域名做转发逻辑的。 前段时间发布过一个关于 YARP 的简单介绍&#xff0c;感兴趣的小伙伴恭请移步看看 .NET 反向代理-YARP 作为反向代理&#xff0c;必不可少的当然是根据域名代理转发啦&#xff0c;毫无疑问&#xff0c;YARP…
阅读更多...
第一个python小游戏

第一个python小游戏

guess int(input("猜一猜宝宝心目中的数字是多少:")) secret 8 while guess !secret:guess int(input("哎呀猜错了,重新猜一猜宝宝心目中的数字是多少:"))if guess secret:print("你真厉害,居然猜对了")print("哼,猜对了也不给你奖励&q…
阅读更多...
理论实践:循序渐进理解AWR细致入微分析性能报告

理论实践:循序渐进理解AWR细致入微分析性能报告

1. AWR 概述 Automatic Workload Repository(AWR) 是10g引入的一个重要组件。在里面存贮着近期一段时间内&#xff08;默认是7天&#xff09;数据库活动状态的详细信息。 AWR 报告是对 AWR 视图进行查询而得到的一份自动生成的报告。可以通过下面的脚本手工得到一份 AWR 报告。…
阅读更多...
java 动态代理

java 动态代理

动态代理 Proxy动态代理是基于实现接口的,被代理类实现了某个功能接口, 代理类实现invocationHandler 接口重写invoke(Object proxy, Method method , class 代理类) 用Proxy.newProxyInstance(类加载器, 被代理类实现的接口的集合, invocationhandler 的实现类)来创建代理类对…
阅读更多...
mysql sql语句书写之面试部分

mysql sql语句书写之面试部分

要求一 :查询时,将用户的手机号码(比如1331234567)显示为133***4567 这是在交流群里看到别人发的一个面试题,我本人非常反感直接在查询时进行处理数据的,查询出来再处理不好吗,但是面试题要求是这样. 这里,简单的写了两个表关联查询,然后把手机号码进行处理显示出来select a.ui…
阅读更多...
Linux中写入ISO镜像

Linux中写入ISO镜像

1、查看U盘标识 fdisk -l2、写入镜像到U盘 sudo dd if/home/***.iso of/dev/sdb转载于:https://www.cnblogs.com/katzepunk/p/7492813.html
阅读更多...
最新文章

Copyright @ 2022~2023