首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]win7下获取Kernel32基址
发表于: 2010-2-6 18:41 8648

[求助]win7下获取Kernel32基址

gongbin 活跃值
2010-2-6 18:41
8648
mov eax,fs:[30h]
mov eax,[eax + 0ch]
mov esi,[eax + 1ch]
lodsd
mov edx,[eax + 8h]
mov Addr,edx
这段代码在XP VISTA下运行时正确的,win7下面获取的是KernelBase.DLL的地址,不知道改怎么改?本人小菜!欢迎高手指教!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
海风月影
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
2
GetModuleHandleA("kernelbase.dll");
2010-2-6 19:00
0
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
3
楼主应该是问如何用汇编实现
  仔细一看很熟悉
是shellcode里面的
2010-2-6 23:25
0
gongbin
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
  这段代码是shellcode里面获取Kernel32基址的,但是在WIN7下面获取的是KernelBase.dll
WIN7下如何改!
2010-2-7 12:29
0
gongbin
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
shellcode里面要在win7下获取Kernel32 但实际是 KernelBase
大牛指教呢。。。
2010-2-7 12:36
0
leonwx
雪    币: 292
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
有一个简单的方法,就是每个线程运行返回,其实是返回到Kernel32地址空间的某个函数里。也即Kernel32地址空间的某个函数调用了本线程函数,所以可以轻松获取压入堆栈的那个 返回到Kernel32地址空间中的某个 地址,从这个地址开始向上找(最好以4k大小),找到“MZ”字符就是Kernel32的基址了。win7下xp下都适用的。
2010-2-8 16:21
0
gongbin
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
搞定了!~呵呵   谢谢各位了
2010-2-24 17:14
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
8
遍历PEB的LDR就行了~
2010-2-24 18:22
0
jilianghou
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
以64KB查找就可以吧。
2010-2-24 19:16
0
safari
雪    币: 52
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
看不懂,怎么解决了还不锁贴呀
2010-2-24 22:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//