-
-
[旧帖] [求助]使用TEB中获取kernel地址的疑问? 0.00雪花
-
发表于: 2011-10-29 17:11
-
push ebp
xor ecx,ecx
mov esi,fs:0x30 ;PEB的地址
mov esi, [esi + 0x0C] ;Ldr的地址
mov esi, [esi + 0x1C] ;获取InLoadOrderModuleList.Flink
next_module:
;add esi, 0x08;
mov ebp, [esi + 0x08] ;获取kernel32.dll地址
mov edi, [esi + 0x20] ;获取kernel32.dll名称地址
mov esi, [esi];
cmp [edi + 12*2],cl ;判断是否为kernel32.dll
jne next_module
mov edi,ebp ;BaseAddr of Kernel32.dll
pop ebp
疑问1:mov edi, [esi + 0x20]这句是否是获取dll的名称的所在地址?
疑问2:
mov ebp, [esi + 0x08]如果是获取dll的地址,那么esi是否是只向ininitializationOrderrMouldeList的呢?
如果上述2点都是正确的那么mov edi, [esi + 0x20]应该是mov edi, [esi + 0x14]才对吧?
上述我使用工具调试果,esi+0x14就是不对,求解,
xor ecx,ecx
mov esi,fs:0x30 ;PEB的地址
mov esi, [esi + 0x0C] ;Ldr的地址
mov esi, [esi + 0x1C] ;获取InLoadOrderModuleList.Flink
next_module:
;add esi, 0x08;
mov ebp, [esi + 0x08] ;获取kernel32.dll地址
mov edi, [esi + 0x20] ;获取kernel32.dll名称地址
mov esi, [esi];
cmp [edi + 12*2],cl ;判断是否为kernel32.dll
jne next_module
mov edi,ebp ;BaseAddr of Kernel32.dll
pop ebp
疑问1:mov edi, [esi + 0x20]这句是否是获取dll的名称的所在地址?
疑问2:
mov ebp, [esi + 0x08]如果是获取dll的地址,那么esi是否是只向ininitializationOrderrMouldeList的呢?
如果上述2点都是正确的那么mov edi, [esi + 0x20]应该是mov edi, [esi + 0x14]才对吧?
上述我使用工具调试果,esi+0x14就是不对,求解,
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
为啥是 + 0x08 和 + 0x20呢?
对照你的图片看也不符啊~(难道是我理解错了?  )貌似很多处偏移都错了
push ebp
xor ecx,ecx
mov esi,fs:0x30 ;PEB的地址
mov esi, [esi + 0x0C] ;Ldr的地址
mov esi, [esi + 0x10] ;获取InLoadOrderModuleList.Flink
next_module:
;add esi, 0x08;
mov ebp, [esi + 0x18] ;获取kernel32.dll地址
mov edi, [esi + 0x30] ;获取kernel32.dll名称地址
mov esi, [esi + 4];
cmp [edi + 12*2],cl ;判断是否为kernel32.dll(这句我没看明白,edi + 12*2是什么?)
jne next_module
mov edi,ebp ;BaseAddr of Kernel32.dll
pop ebp
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[QUOTE=lyletzzzw;1014576]我来说下我的理解吧:
push ebp xor ecx,ecx mov esi,fs:0x30 ;PEB的地址 mov esi, [esi + 0x0C] ;Ldr的地址 mov esi, [esi + 0x10] ...[/QUOTE] http://msdn.moonsols.com/msdn 这里有很多常用的 其它一些少见的可以查阅WRK(kernel only)、ReactOS(complete)、NT4Source/WIN2KSource(complete)、符号文件(not complete,windbg) 
|
