kernel32.dll 一.什么是kernel32内核文件 kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件.它控制着系统的内存管理.数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域. 有时,Windows会弹出“非法页错误”的消息框,简单地说,这是因为某个或多个程序试图访问kernel32.dll所占用的内存保护区域,从而产生冲突而造成的.该错误一般…

winxp系统,在使用boost中的thread中的sleep的时候出现“无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上”的错误, 1.在引用boost库之前(我是在stdafx.h最后): #ifdef _WIN32_WINNT #undef _WIN32_WINNT #endif #define _WIN32_WINNT 0x0501 2.重新生成解决方案 至此可以正确使用boost::thread::sleep()或者boost::this_thre…

winxp系统,使用VS2010, 在使用boost中的thread中的sleep的时候出现 “无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上”的错误, 在网上搜索了解决方案,例如:(http://zhidao.baidu.com/question/525243508.html)都无法解决.在参考http://software.intel.com/en-us/forums/topic/345090后得到解决方法: 1.在“stdafx.h”中#includ…

转载自:http://blog.csdn.net/sp6645597/article/details/8683737 1.简单说明 这叫引入kernel32.dll这个动态连接库(顾名思义就是一个链接库). 这个动态连接库里面包含了很多WindowsAPI函数(Application Programming Interface,简称 API 函数.WIN32 API也就是Microsoft Windows 32位平台的应用程序编程接口.),如果你想使用这面的函数,就需要这么引入.举个例子: [D…

0x01 找kernel32基地址的方法一般有三种: 暴力搜索法.异常处理链表搜索法.PEB法. 0x02 基本原理 暴力搜索法是最早的动态查找kernel32基地址的方法.它的原理是几乎所有的win32可执行文件(pe格式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp存放的一般是Kernel32.DLL 中的某个地址,所以沿着这个地址向上查找就可以找到kernel32的基地址.那么如何知道我们找到的地址是kernel32的基地址呢?因为kernel32.dll…

一.首先准备好一个程序,运行起来,用windbg进行附加调试,由于每个windows下的程序都会加载kernel32.dll,因此,找基址的过程是一样的:  二.查看PEB地址: 法一.r $peb 法二.通过TEB获取,r $teb 获取到teb地址后,对_TEB结构体解析dt _TEB 3ca000 法三.通过fs寄存器获取,我们知道fs:[0]就是TEB结构体的首地址,但是,在windbg里dd fs:[0]时,地址却做了隐藏: 那该怎么办呢,其实,这就要看下TEB的结构了 在TEB结构的…

写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构: 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零.思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址: I)   遍历导出名称表(下面统称为ENT),匹配到需要的函数[匹配过程中,设置一个自增的变量,这样找到后,变量里就是该函数在ENT里的下标] II)  根据导出序号表(下面统称EOT),…

我们一般要获得一个函数的地址,通常采用的是明文,例如定义一个api函数字符串"MessageBoxA",然后在GetProcAddress函数中一个字节一个字节进行比较.这样弊端很多,例如如果我们定义一个杀毒软件比较敏感的api函数字符串,那么可能就会增加杀毒软件对我们的程序的判定值,而且定义这些字符串还有一个弊端是占用的字节数较大.我们想想如何我们的api函数字符串通过算法将它定义成一个4字节的值,然后在GetProcAddress中把AddressOfNames表中的每个地址指向的…

日前遇到一件事:WebBrowser中的网页会用到一个“大众”ActiveX控件,为了保证兼容性以及和其它程序互不干扰,我们采用这样一种方案: 1. 我们的软件会自带该控件: 2. 如果系统中已注册有该控件的话,我们不用会我们的控件进行覆盖注册: 3. 不管怎么样,我们的程序都只会加载我们自带的控件.   要做到第3条,显然要HOOK控件位置有关的注册表项.因为之前在做播放器时使用过同样的手段来处理媒体解码器,所以其实并没有什么难度.但事实上却差点阴沟里翻船.   我一定确定以及肯定的是,我需要…

提到开机加载(load)项,大家不要以为就是系统启动(run)项.最简单的例子是,杀毒软件或者用户手动删除病毒文件后,注册表中的自动加载信息仍在,登陆系统时就会提示"加载*dll出错,系统找不到指定的模块",这些dll就是病毒寄生在系统进程之下的加载项. 出错开机加载项大揭秘"> 加载dll出错 病毒本身被阻止运行,却"挟系统以令用户",辗转藏在系统进程后面继续狐假虎威,大行其道:它们被发现并删除后,下次系统登陆.启动服务.初始化用户配置.启动外壳e…