[Anti Virus专题]1.2 - 2.kernel32基地址获得-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[Anti Virus专题]1.2 - 2.kernel32基地址获得

发表于: 2009-4-10 15:09 68263

[Anti Virus专题]1.2 - 2.kernel32基地址获得

xfish

2009-4-10 15:09

68263

查看主题内容

收藏・64

免费・7

支持

最新回复 (86) ◀ 1 2 3 4 ▶
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 51 楼 MZ和内存中是相反的 2009-5-26 14:59 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 52 楼 cmp word ptr [eax+edx], 4550h; 比如说这里如果用cmp word ptr [eax+edx],"PE" "PE"是被编译成5045.- 2009-5-26 15:02 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 53 楼我用FASM编译的就可以，xfish用的应该是FASM 2009-5-26 15:07 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 54 楼哦，原来是编译器的原因啊，，，，了解- 2009-5-26 20:54 0
zcjzch 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zcjzch 55 楼真诚的谢谢楼主细心的工作，你的文章让我加深了理解！ 2009-5-31 23:25 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 56 楼这个系列不错..学习了 2009-6-17 20:45 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 57 楼第三个最后一个mov eax,[eax+8]有些不太明白，通过mov eax,[eax],此时eax应该是指向的_LDR_MODULE这个结构吧．而我们要得到的关于这个结构的BaseAddress的值，而这个值在这个结构的0x18的地方，所以，应该通过mov eax,[eax+18h]这样来得到吧，而作者加的是8，最后还注释是那个结构的大小，所以就迷糊了．．．．求解释．．．． 2009-7-20 22:47 0
ratf 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	ratf 58 楼同楼上的疑问，望高手解答 2009-7-20 23:33 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 59 楼 [QUOTE=冰雪风谷;658678]第三个最后一个mov eax,[eax+8]有些不太明白，通过mov eax,[eax],此时eax应该是指向的_LDR_MODULE这个结构吧．而我们要得到的关于这个结构的BaseAddress的值，而这个值在这个结构的0x18的地方，所以，应该通过mov eax,[eax+18h]这...[/QUOTE] 写了段代码，自己跟了下，总算明白了。 .386 .model flat,stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib include user32.inc includelib user32.lib .data Caption db '地址',0 Buffer db '地址是%08x',0 Buffer1 db 256 dup (0) .code start: assume fs:nothing mov eax,fs:[30h] mov eax,[eax+0ch] mov eax,[eax+1ch] ;mov eax,[eax] mov eax,[eax+8h] invoke wsprintf,offset Buffer1,offset Buffer,eax invoke MessageBox,NULL,addr Buffer1,offset Caption,MB_OK invoke ExitProcess,NULL end start 2009-7-21 15:00 0
ratf 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	ratf 60 楼本人愚昧，还是没看懂为什么是+8而不是+18 2009-7-21 22:48 0
childz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 115 粉丝 0 关注私信	childz 61 楼顶，好文章啊，呵呵，病毒入门 2009-8-4 10:40 0
pcqq 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 0 关注私信	pcqq 62 楼 lkd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +0x02c ThreadLocalStoragePointer : Ptr32 Void +0x030 ProcessEnvironmentBlock : Ptr32 _PEB ;;;;;;;;;; ......省略我们可以看到TEB结构的0x30偏移处存储的我们的PEB结构的地址。。然后接下来我们来看PEB结构。 lkd> dt _PEB nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA ..........省略我们可以看到PEB结构的0x0c偏移处存储的我们的_PEB_LDR_DATA结构地址。好到这里我们可以先把获得_PEB_LDR_DATA结构地址的代码写出来。 mov eax, [fs:30h] ;Get Peb mov eax, [eax+0ch] ;Get _PEB_LDR_DATA 想請問一下這部份前輩如何知道他是使用fs 而不是其他的呢? 2009-8-24 18:03 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 63 楼微软定义就是FS 微软定义就是FS mov eax, [eax+1ch];Get InInitializationOrderModuleList.Flink, 此时eax指向的是ntdll模块的InInitializationOrderModuleList线性地址。所以我们获得它的下一个则是kernel32.dll mov eax, [eax] mov eax, [eax+8] ; 8 = sizeof.LIST_ENTRY ret +8不是刚好是基址吗 8 = sizeof.LIST_ENTRY写的很清楚了 mov eax, [eax+1ch]; 此时eax指向的是ntdll模块的InInitializationOrderModuleList线性地址而不是LIST_ENTRY InLoadOrderModuleList; // +0x00 加18H就跑到下面去了 2009-10-20 13:43 0
netsfly 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	netsfly 64 楼写的真是太好了 2009-12-25 14:15 0
netsfly 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	netsfly 65 楼 ”分析过kernel32.dll的朋友应该都知道kernel32.dll的块对齐值是00001000h, 并且一般DLL以1M为边界，所以我们可以通过10000h (64k) 作为跨度，“ 为什么64K，正好两个字节吗 2009-12-25 14:40 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 66 楼下面这两个结构中标红色的成员是公用的其实就是一个东西，要不一个只有两个指针没别的成员的双链表如何存储数据啊，明白这个就明白为啥是+8了。我也刚懂 nt!_PEB_LDR_DATA +0x000 Length : Uint4B +0x004 Initialized : UChar +0x008 SsHandle : Ptr32 Void +0x00c InLoadOrderModuleList : _LIST_ENTRY +0x014 InMemoryOrderModuleList : _LIST_ENTRY +0x01c InInitializationOrderModuleList : _LIST_ENTRY +0x024 EntryInProgress : Ptr32 Void typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; // +0x00 LIST_ENTRY InMemoryOrderModuleList; // +0x08 LIST_ENTRY InInitializationOrderModuleList; // +0x10 PVOID BaseAddress; // +0x18 PVOID EntryPoint; // +0x1c ULONG SizeOfImage; // +0x20 UNICODE_STRING FullDllName; // +0x24 UNICODE_STRING BaseDllName; // +0x2c ULONG Flags; // +0x34 SHORT LoadCount; // +0x38 SHORT TlsIndex; // +0x3a LIST_ENTRY HashTableEntry; // +0x3c ULONG TimeDateStamp; // +0x44 // +0x48 } LDR_MODULE, *PLDR_MODULE; 2010-1-13 15:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 67 楼以讹传讹的恶果啊。错误的数据结构大家如果不晕才怪了呢。不知道这个可不可以算作小鱼抄袭的一个证据？ 2010-1-13 16:56 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 68 楼其实我想说，不管文章来自哪楼主肯分享我就应该感恩.. 我见过的第一个成系列的讲病毒的帖子而且收获很多。 2010-1-13 20:35 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 69 楼很好，正在学这方面的知识，谢谢了！！ 2010-8-26 22:34 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 70 楼感谢xfish的付出，鄙人收益匪浅！ 2010-9-1 23:15 0
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	冷酷果冻 71 楼这些代码我用了这么久,今天才知道原来是这么回事. 真是醍醐灌顶. 你们怎么知道fs:[0]和fs:[30]是怎么回事的呀？ 2010-9-2 17:42 0
haithink 雪币： 354 活跃值： (157) 能力值： ( LV7，RANK：100 ) 在线值：发帖 30 回帖 200 粉丝 1 关注私信	haithink 1 72 楼很显然，除了查资料还能怎么着啊？呵呵。 2010-9-21 20:51 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 73 楼不错的文章。 2010-9-22 19:49 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 74 楼感谢楼主，学习了! 2010-9-22 23:28 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 75 楼留名！以后看看 2010-10-11 17:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xfish

发帖

113

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (86) ◀ 1 2 3 4 ▶
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 51 楼 MZ和内存中是相反的 2009-5-26 14:59 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 52 楼 cmp word ptr [eax+edx], 4550h; 比如说这里如果用cmp word ptr [eax+edx],"PE" "PE"是被编译成5045.- 2009-5-26 15:02 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 53 楼我用FASM编译的就可以，xfish用的应该是FASM 2009-5-26 15:07 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 54 楼哦，原来是编译器的原因啊，，，，了解- 2009-5-26 20:54 0
zcjzch 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zcjzch 55 楼真诚的谢谢楼主细心的工作，你的文章让我加深了理解！ 2009-5-31 23:25 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 56 楼这个系列不错..学习了 2009-6-17 20:45 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 57 楼第三个最后一个mov eax,[eax+8]有些不太明白，通过mov eax,[eax],此时eax应该是指向的_LDR_MODULE这个结构吧．而我们要得到的关于这个结构的BaseAddress的值，而这个值在这个结构的0x18的地方，所以，应该通过mov eax,[eax+18h]这样来得到吧，而作者加的是8，最后还注释是那个结构的大小，所以就迷糊了．．．．求解释．．．． 2009-7-20 22:47 0
ratf 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	ratf 58 楼同楼上的疑问，望高手解答 2009-7-20 23:33 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 59 楼 [QUOTE=冰雪风谷;658678]第三个最后一个mov eax,[eax+8]有些不太明白，通过mov eax,[eax],此时eax应该是指向的_LDR_MODULE这个结构吧．而我们要得到的关于这个结构的BaseAddress的值，而这个值在这个结构的0x18的地方，所以，应该通过mov eax,[eax+18h]这...[/QUOTE] 写了段代码，自己跟了下，总算明白了。 .386 .model flat,stdcall option casemap:none include windows.inc include kernel32.inc includelib kernel32.lib include user32.inc includelib user32.lib .data Caption db '地址',0 Buffer db '地址是%08x',0 Buffer1 db 256 dup (0) .code start: assume fs:nothing mov eax,fs:[30h] mov eax,[eax+0ch] mov eax,[eax+1ch] ;mov eax,[eax] mov eax,[eax+8h] invoke wsprintf,offset Buffer1,offset Buffer,eax invoke MessageBox,NULL,addr Buffer1,offset Caption,MB_OK invoke ExitProcess,NULL end start 2009-7-21 15:00 0
ratf 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	ratf 60 楼本人愚昧，还是没看懂为什么是+8而不是+18 2009-7-21 22:48 0
childz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 115 粉丝 0 关注私信	childz 61 楼顶，好文章啊，呵呵，病毒入门 2009-8-4 10:40 0
pcqq 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 0 关注私信	pcqq 62 楼 lkd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +0x02c ThreadLocalStoragePointer : Ptr32 Void +0x030 ProcessEnvironmentBlock : Ptr32 _PEB ;;;;;;;;;; ......省略我们可以看到TEB结构的0x30偏移处存储的我们的PEB结构的地址。。然后接下来我们来看PEB结构。 lkd> dt _PEB nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA ..........省略我们可以看到PEB结构的0x0c偏移处存储的我们的_PEB_LDR_DATA结构地址。好到这里我们可以先把获得_PEB_LDR_DATA结构地址的代码写出来。 mov eax, [fs:30h] ;Get Peb mov eax, [eax+0ch] ;Get _PEB_LDR_DATA 想請問一下這部份前輩如何知道他是使用fs 而不是其他的呢? 2009-8-24 18:03 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 63 楼微软定义就是FS 微软定义就是FS mov eax, [eax+1ch];Get InInitializationOrderModuleList.Flink, 此时eax指向的是ntdll模块的InInitializationOrderModuleList线性地址。所以我们获得它的下一个则是kernel32.dll mov eax, [eax] mov eax, [eax+8] ; 8 = sizeof.LIST_ENTRY ret +8不是刚好是基址吗 8 = sizeof.LIST_ENTRY写的很清楚了 mov eax, [eax+1ch]; 此时eax指向的是ntdll模块的InInitializationOrderModuleList线性地址而不是LIST_ENTRY InLoadOrderModuleList; // +0x00 加18H就跑到下面去了 2009-10-20 13:43 0
netsfly 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	netsfly 64 楼写的真是太好了 2009-12-25 14:15 0
netsfly 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	netsfly 65 楼 ”分析过kernel32.dll的朋友应该都知道kernel32.dll的块对齐值是00001000h, 并且一般DLL以1M为边界，所以我们可以通过10000h (64k) 作为跨度，“ 为什么64K，正好两个字节吗 2009-12-25 14:40 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 66 楼下面这两个结构中标红色的成员是公用的其实就是一个东西，要不一个只有两个指针没别的成员的双链表如何存储数据啊，明白这个就明白为啥是+8了。我也刚懂 nt!_PEB_LDR_DATA +0x000 Length : Uint4B +0x004 Initialized : UChar +0x008 SsHandle : Ptr32 Void +0x00c InLoadOrderModuleList : _LIST_ENTRY +0x014 InMemoryOrderModuleList : _LIST_ENTRY +0x01c InInitializationOrderModuleList : _LIST_ENTRY +0x024 EntryInProgress : Ptr32 Void typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; // +0x00 LIST_ENTRY InMemoryOrderModuleList; // +0x08 LIST_ENTRY InInitializationOrderModuleList; // +0x10 PVOID BaseAddress; // +0x18 PVOID EntryPoint; // +0x1c ULONG SizeOfImage; // +0x20 UNICODE_STRING FullDllName; // +0x24 UNICODE_STRING BaseDllName; // +0x2c ULONG Flags; // +0x34 SHORT LoadCount; // +0x38 SHORT TlsIndex; // +0x3a LIST_ENTRY HashTableEntry; // +0x3c ULONG TimeDateStamp; // +0x44 // +0x48 } LDR_MODULE, *PLDR_MODULE; 2010-1-13 15:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 67 楼以讹传讹的恶果啊。错误的数据结构大家如果不晕才怪了呢。不知道这个可不可以算作小鱼抄袭的一个证据？ 2010-1-13 16:56 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 68 楼其实我想说，不管文章来自哪楼主肯分享我就应该感恩.. 我见过的第一个成系列的讲病毒的帖子而且收获很多。 2010-1-13 20:35 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 69 楼很好，正在学这方面的知识，谢谢了！！ 2010-8-26 22:34 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 70 楼感谢xfish的付出，鄙人收益匪浅！ 2010-9-1 23:15 0
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	冷酷果冻 71 楼这些代码我用了这么久,今天才知道原来是这么回事. 真是醍醐灌顶. 你们怎么知道fs:[0]和fs:[30]是怎么回事的呀？ 2010-9-2 17:42 0
haithink 雪币： 354 活跃值： (157) 能力值： ( LV7，RANK：100 ) 在线值：发帖 30 回帖 200 粉丝 1 关注私信	haithink 1 72 楼很显然，除了查资料还能怎么着啊？呵呵。 2010-9-21 20:51 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 73 楼不错的文章。 2010-9-22 19:49 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 74 楼感谢楼主，学习了! 2010-9-22 23:28 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 75 楼留名！以后看看 2010-10-11 17:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复