[原创]笑解 API 函数－－ API 绝密档案系列之一-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]笑解 API 函数－－ API 绝密档案系列之一

发表于: 2006-3-1 07:14 114160

[原创]笑解 API 函数－－ API 绝密档案系列之一

gzgzlxg

2006-3-1 07:14

114160

查看主题内容

收藏・82

免费・7

支持

最新回复 (83) ◀ 1 2 3 4 ▶
qiqiansi 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	qiqiansi 51 楼一堆英文字母看得头昏眼花怪谁啊自找的谁让俺偏偏就喜欢这东西呢俺就看看俺这初中文化哪天是不是也能带上那看雪勋章 2008-12-3 22:51 0
abban 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	abban 52 楼学习了，感谢楼主 2008-12-26 11:36 0
hugo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 29 粉丝 0 关注私信	hugo 53 楼不错啊! 相当好!顶! 2009-1-18 14:49 0
siwind 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	siwind 54 楼学习了，感谢楼主 2009-2-18 11:55 0
guafeng 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 67 粉丝 0 关注私信	guafeng 55 楼请问楼主， fs:30指向的是PEB, PEB+0Ch又指向…… 这些都是绝密的数据结构，没搞懂，能不能请你讲解下下面几行代码的含义？这段代码是正在OD中调试的程序A中的代码，程序A创建程序B进程，并把这段代码写入到进程B的内存中，所以这段代码是在进程B中执行的。 seg000:0040262F mov eax, large fs:30h ; 不明 seg000:00402635 mov eax, [eax+0Ch] seg000:00402638 mov eax, [eax+1Ch] seg000:0040263B mov eax, [eax] seg000:0040263D mov eax, [eax+8] seg000:00402640 push eax 2009-3-26 16:16 0
guafeng 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 67 粉丝 0 关注私信	guafeng 56 楼在网上搜到答案了：（1）通过段选择子FS在内存中找到当前线程控制块TEB (2）线程控制块TEB偏移位置0x30的位置存在着指向进程控制块PEB的指针 (3）进程控制块PEB偏移位置0x0C的地方存放着指向PEB_LDR_DATA结构体的指针，其中存放着已经被进程装载的动态链接库的信息 (4）PEB_LDR_DATA结构体偏移位置为0x1C的地方存放着指向初始化链表的头指针InInitializationOrderModuleList。 (5）模块初始化链表InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息，第一个链表节点时ntdll.dll,第二个链表节点就是kernel32.dll (6）找到属于kernel32.dll的节点以后，在其基础上偏移0x08就是kernel32.dll在内存中的加载基地址强啊，不是看雪论坛，也藏龙卧虎啊 2009-3-26 16:36 0
niqingxin 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	niqingxin 57 楼很好很强大学习了 2009-5-6 14:56 0
ivqgogcp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ivqgogcp 58 楼有意思，学习了，呵呵 2009-6-1 09:42 0
suangluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	suangluo 59 楼支持，学习了 2009-6-6 03:01 0
bzh 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	bzh 60 楼好好学习一下 2009-6-6 13:35 0
只是学习雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 26 粉丝 0 关注私信	只是学习 61 楼标记一下!!!! 2009-6-19 02:05 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 62 楼哈哈老兄说的太风趣了 2009-10-1 08:13 0
鸡蛋面雪币： 5 活跃值： (421) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 63 楼很好，我去年就来看过这篇贴子了，那时看得感觉云里雾里的，今年刚毕业参加工作，虽说花的大量精力都花在asp.net上，但逆向知识多少也长进了一点，终于能勉强看懂楼主的贴子了，写得相当好，顶个！ 2009-10-9 10:57 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 64 楼顶一下先，然后慢慢看！ 2009-10-11 09:02 0
菜地雪人雪币： 21 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	菜地雪人 65 楼看不得哦哦那个。。。。 2009-11-28 01:47 0
xupeihua 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 414 粉丝 0 关注私信	xupeihua 66 楼楼主写得不错，只可惜看不太懂 2009-12-4 21:21 0
billstone 雪币： 339 活跃值： (10) 能力值： ( LV9，RANK：260 ) 在线值：发帖 12 回帖 190 粉丝 0 关注私信	billstone 6 67 楼顶一个，好久没来看雪了 2010-4-15 15:52 0
xwyliu 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	xwyliu 68 楼多整点点内核函数阿！ 2010-5-6 11:47 0
sdrz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sdrz 69 楼这个太好了啊 2010-6-4 15:04 0
ttdsxfxf 雪币： 104 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ttdsxfxf 70 楼不错，楼主加油，接着来 2010-8-12 15:39 0
naiooita 雪币： 132 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	naiooita 71 楼很好嘛 2010-8-15 17:14 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 72 楼想标记一下。。。 2010-11-3 04:00 0
雪域幽魂雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	雪域幽魂 73 楼不错，学习下，谢谢楼主 2010-11-8 02:26 0
zhuyanfeng 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	zhuyanfeng 74 楼学习了感谢楼主 2010-11-12 15:46 0
jackyuy 雪币： 192 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	jackyuy 75 楼讲的好，通俗物懂。谢谢 2010-11-12 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

gzgzlxg

发帖

346

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (83) ◀ 1 2 3 4 ▶
qiqiansi 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	qiqiansi 51 楼一堆英文字母看得头昏眼花怪谁啊自找的谁让俺偏偏就喜欢这东西呢俺就看看俺这初中文化哪天是不是也能带上那看雪勋章 2008-12-3 22:51 0
abban 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	abban 52 楼学习了，感谢楼主 2008-12-26 11:36 0
hugo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 29 粉丝 0 关注私信	hugo 53 楼不错啊! 相当好!顶! 2009-1-18 14:49 0
siwind 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	siwind 54 楼学习了，感谢楼主 2009-2-18 11:55 0
guafeng 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 67 粉丝 0 关注私信	guafeng 55 楼请问楼主， fs:30指向的是PEB, PEB+0Ch又指向…… 这些都是绝密的数据结构，没搞懂，能不能请你讲解下下面几行代码的含义？这段代码是正在OD中调试的程序A中的代码，程序A创建程序B进程，并把这段代码写入到进程B的内存中，所以这段代码是在进程B中执行的。 seg000:0040262F mov eax, large fs:30h ; 不明 seg000:00402635 mov eax, [eax+0Ch] seg000:00402638 mov eax, [eax+1Ch] seg000:0040263B mov eax, [eax] seg000:0040263D mov eax, [eax+8] seg000:00402640 push eax 2009-3-26 16:16 0
guafeng 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 67 粉丝 0 关注私信	guafeng 56 楼在网上搜到答案了：（1）通过段选择子FS在内存中找到当前线程控制块TEB (2）线程控制块TEB偏移位置0x30的位置存在着指向进程控制块PEB的指针 (3）进程控制块PEB偏移位置0x0C的地方存放着指向PEB_LDR_DATA结构体的指针，其中存放着已经被进程装载的动态链接库的信息 (4）PEB_LDR_DATA结构体偏移位置为0x1C的地方存放着指向初始化链表的头指针InInitializationOrderModuleList。 (5）模块初始化链表InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息，第一个链表节点时ntdll.dll,第二个链表节点就是kernel32.dll (6）找到属于kernel32.dll的节点以后，在其基础上偏移0x08就是kernel32.dll在内存中的加载基地址强啊，不是看雪论坛，也藏龙卧虎啊 2009-3-26 16:36 0
niqingxin 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	niqingxin 57 楼很好很强大学习了 2009-5-6 14:56 0
ivqgogcp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ivqgogcp 58 楼有意思，学习了，呵呵 2009-6-1 09:42 0
suangluo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	suangluo 59 楼支持，学习了 2009-6-6 03:01 0
bzh 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	bzh 60 楼好好学习一下 2009-6-6 13:35 0
只是学习雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 26 粉丝 0 关注私信	只是学习 61 楼标记一下!!!! 2009-6-19 02:05 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 62 楼哈哈老兄说的太风趣了 2009-10-1 08:13 0
鸡蛋面雪币： 5 活跃值： (421) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 63 楼很好，我去年就来看过这篇贴子了，那时看得感觉云里雾里的，今年刚毕业参加工作，虽说花的大量精力都花在asp.net上，但逆向知识多少也长进了一点，终于能勉强看懂楼主的贴子了，写得相当好，顶个！ 2009-10-9 10:57 0
vivid 雪币： 486 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	vivid 64 楼顶一下先，然后慢慢看！ 2009-10-11 09:02 0
菜地雪人雪币： 21 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	菜地雪人 65 楼看不得哦哦那个。。。。 2009-11-28 01:47 0
xupeihua 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 414 粉丝 0 关注私信	xupeihua 66 楼楼主写得不错，只可惜看不太懂 2009-12-4 21:21 0
billstone 雪币： 339 活跃值： (10) 能力值： ( LV9，RANK：260 ) 在线值：发帖 12 回帖 190 粉丝 0 关注私信	billstone 6 67 楼顶一个，好久没来看雪了 2010-4-15 15:52 0
xwyliu 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	xwyliu 68 楼多整点点内核函数阿！ 2010-5-6 11:47 0
sdrz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sdrz 69 楼这个太好了啊 2010-6-4 15:04 0
ttdsxfxf 雪币： 104 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ttdsxfxf 70 楼不错，楼主加油，接着来 2010-8-12 15:39 0
naiooita 雪币： 132 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	naiooita 71 楼很好嘛 2010-8-15 17:14 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 72 楼想标记一下。。。 2010-11-3 04:00 0
雪域幽魂雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	雪域幽魂 73 楼不错，学习下，谢谢楼主 2010-11-8 02:26 0
zhuyanfeng 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	zhuyanfeng 74 楼学习了感谢楼主 2010-11-12 15:46 0
jackyuy 雪币： 192 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 66 粉丝 0 关注私信	jackyuy 75 楼讲的好，通俗物懂。谢谢 2010-11-12 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]笑解 API 函数 －－ API 绝密档案系列之一

[原创]笑解 API 函数－－ API 绝密档案系列之一