第2讲：搜索PEB结构获取kernel32.dll的基址

做一项目想在DLL内部代码实现获取本DLL的模块基址,而且不知道本DLL名称 最简单的方法是想到GetModuleHandle(NULL),是否可以呢? 参看http://blog.csdn.net/guzhou_diaoke/article/details/8826558到的答案是否 自己尝试了一下: DLL代码(testDll): BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserv

FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUserPointer 018  FS段寄存器在内存中的镜像地址 020  进程PID 024  线程ID 02C  指向线程局部存储指针 030  PEB结构地址(进程结构) 034  上个错误号 在shellcode中用它来找KERNEL32.DLL基地址是常

1.fs寄存器指向TEB结构 2.在TEB+0x30地方指向PEB结构 3.在PEB+0x0C地方指向PEB_LDR_DATA结构 4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll,第二个就是kernel32.dll的地址. 其结构示意图如图  利用PEB查找kernerl32地址的汇编实现 mov eax, fs:0x30 ;PEB的地址 mov eax, [eax + 0x0c] ;Ldr的地址 mov esi, [eax + 0x1c] 

书中作者使用 dt _PEB xxxxxx 命令来查看当前进程的PEB结构. 实际操作后PEB结构显示的成员值: 作为进程链表的LDR结构居然没有值,这显然是不正常的,地址也没有输错,问题到底出在哪里呢? 书中提到PEB位于用户态空间,可能有多个进程共享同一个PEB,所以在查看之前须使用 .process 命令来设置当前隐含进程. 尝试后问题依然没有解决,查看WinDBG的帮助文档,.process 命令有一个参数 /p : 作用是在访问前将指定进程内所有可翻译的页表项翻译为物理地址. 再次尝试

一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以将DLL文件加载到自身进程中. 2.这样,就可以用 CreateRemoteThread() 函数创建一个远程线程,让目标进程调用LoadLibrary() 来加载我们自己写的DLL .CreateRemoteThread() 有这几个参数比较关键:A:想要注入的进程的句柄,这里可以通过OpenPr

串口通讯可以引出kernel32.dll中的API来操作,相关源码如下:using System;using System.Runtime.InteropServices; namespace Telehome.GSM{/// <summary>/// ************************************************************************************/// /// Function: 连接,断开串口;发送,接收串口数据,使用

闲来无事,用IDA, windbg, OD分析kernel32.dll函数调用流程笔记 1.先用分析 CreateFileW,CreateFileA 函数: CreateFileA流程: kernel32.dll!CreateFileA 流程 kernel32.dll!Basep8BitStringToDynamicUnicodeString kernel32.dll!CreateFileWImplementation ; 实际就是导出表 CreateFil 地址 kernel32.dll!Rt

这是由于GetProcessMemoryInfo在不同系统版本号不同导致的,官方说明如下: Remarks Starting with Windows 7 and Windows Server 2008 R2, Psapi.h establishes version numbers for the PSAPI functions. The PSAPI version number affects the name used to call the function and the library

这个动态连接库里面包含了很多WindowsAPI函数,如果你想使用这面的函数,就需要这么引入.举个例子:[DllImport("kernel32.dll")]private static extern void 函数名(参数,[参数]); 函数名就是一个属于kernel32.dll里的一个函数.完了就可以用那个函数了.