在内存中搜索kernel32.dll映像基址的方法，小弟只知道三种①暴力搜索堆栈②搜索PEB③搜索SEH链表，前两种，我觉着过于招摇了，尤其是第二种几乎刚刚写出来，就被杀了T_T。。。

第一种方法我很熟悉了，今天突然想用第三种方法实现以下，于是乎说做就做，实践中发现了一个小小的问题，在WIN7下搜索SEH链表，得到的是Ntdll.dll的基址，并不是Xp下的Kernel32.dll。为了让程序更健壮些，我加入了SEH异常处理函数，能够修正EIP使程序能够达到预期结果。。。

这里只列出了关键代码，具体的测试代码我放在附件里面了。求精华贴，求邀请码。。。

编译环境：VC6.0

关键代码如下：

DWORD dwHandlerAddress = (DWORD)ExceptionHandler;

LPVOID APIENTRY GetKernelBase()

{

        LPVOID lpModule = NULL;

        {

                _asm push ebp                                        //注册SEH，附加数据,原始EBP

                _asm push offset next                                //附加数据，安全代码区域

                _asm push dwHandlerAddress               

                _asm push fs:[0]                                      

                _asm mov fs:[0],esp

                _asm cld

                _asm xor esi,esi

                _asm mov esi,dword ptr fs:[0] //获取SEH链表地址

                _asm lookup:

                _asm lodsd                             

                _asm inc eax

                _asm je find

                _asm dec eax

                _asm xchg esi,eax

                _asm jmp short lookup

                _asm find:  

               _asm mov edi,dword ptr [esi]  

               _asm and edi,0xffff0000

               _asm start:

                _asm cmp word ptr [edi],0x5a4d  //判断内存模块是否为PE文件

                _asm jnz next

                _asm mov esi,edi

               _asm add esi,dword ptr ds:[esi+0x3c]

                   _asm cmp word ptr [esi],0x4550

                _asm jnz next

                _asm mov lpModule,edi

                _asm jmp short end       

                _asm next:

                _asm sub edi,0x10000

                _asm cmp edi,0x70000000

                _asm je end

                _asm jmp short start

[注意]看雪招聘，专注安全领域的专业人才平台！