kernel32.dll提供的接口分析】的更多相关文章

HANDLE hToken = NULL; DWORD cursessionid; HMODULE hInstKernel32 = NULL; hInstKernel32 = LoadLibrary("Kernel32.dll"); if (!hInstKernel32) { return; } hWTSGetActiveConsoleSessionId = (WTSGetActiveConsoleSessionIdPROC)GetProcAddress(hInstKernel32,&…
0x01 找kernel32基地址的方法一般有三种: 暴力搜索法.异常处理链表搜索法.PEB法. 0x02 基本原理 暴力搜索法是最早的动态查找kernel32基地址的方法.它的原理是几乎所有的win32可执行文件(pe格式文件)运行的时候都加载kernel32.dll,可执行文件进入入口点执行后esp存放的一般是Kernel32.DLL 中的某个地址,所以沿着这个地址向上查找就可以找到kernel32的基地址.那么如何知道我们找到的地址是kernel32的基地址呢?因为kernel32.dll…
kernel32.dll 一.什么是kernel32内核文件 kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件.它控制着系统的内存管理.数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域. 有时,Windows会弹出“非法页错误”的消息框,简单地说,这是因为某个或多个程序试图访问kernel32.dll所占用的内存保护区域,从而产生冲突而造成的.该错误一般…
转载自:http://blog.csdn.net/sp6645597/article/details/8683737 1.简单说明 这叫引入kernel32.dll这个动态连接库(顾名思义就是一个链接库). 这个动态连接库里面包含了很多WindowsAPI函数(Application Programming Interface,简称 API 函数.WIN32 API也就是Microsoft Windows 32位平台的应用程序编程接口.),如果你想使用这面的函数,就需要这么引入.举个例子: [D…
一.首先准备好一个程序,运行起来,用windbg进行附加调试,由于每个windows下的程序都会加载kernel32.dll,因此,找基址的过程是一样的:  二.查看PEB地址: 法一.r $peb 法二.通过TEB获取,r $teb 获取到teb地址后,对_TEB结构体解析dt _TEB 3ca000 法三.通过fs寄存器获取,我们知道fs:[0]就是TEB结构体的首地址,但是,在windbg里dd fs:[0]时,地址却做了隐藏: 那该怎么办呢,其实,这就要看下TEB的结构了 在TEB结构的…
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构: 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零.思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址: I)   遍历导出名称表(下面统称为ENT),匹配到需要的函数[匹配过程中,设置一个自增的变量,这样找到后,变量里就是该函数在ENT里的下标] II)  根据导出序号表(下面统称EOT),…
我们一般要获得一个函数的地址,通常采用的是明文,例如定义一个api函数字符串"MessageBoxA",然后在GetProcAddress函数中一个字节一个字节进行比较.这样弊端很多,例如如果我们定义一个杀毒软件比较敏感的api函数字符串,那么可能就会增加杀毒软件对我们的程序的判定值,而且定义这些字符串还有一个弊端是占用的字节数较大.我们想想如何我们的api函数字符串通过算法将它定义成一个4字节的值,然后在GetProcAddress中把AddressOfNames表中的每个地址指向的…
日前遇到一件事:WebBrowser中的网页会用到一个“大众”ActiveX控件,为了保证兼容性以及和其它程序互不干扰,我们采用这样一种方案: 1. 我们的软件会自带该控件: 2. 如果系统中已注册有该控件的话,我们不用会我们的控件进行覆盖注册: 3. 不管怎么样,我们的程序都只会加载我们自带的控件.   要做到第3条,显然要HOOK控件位置有关的注册表项.因为之前在做播放器时使用过同样的手段来处理媒体解码器,所以其实并没有什么难度.但事实上却差点阴沟里翻船.   我一定确定以及肯定的是,我需要…
为了寻找kernel32.dll的地址,可以直接输出,也可以通过TEB,PEB等查找. 寻找TEB: dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +0x02c ThreadLocalStoragePointer : Ptr32 Void +0x030 Pro…
winxp系统,在使用boost中的thread中的sleep的时候出现“无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上”的错误, 1.在引用boost库之前(我是在stdafx.h最后): #ifdef _WIN32_WINNT #undef _WIN32_WINNT #endif #define _WIN32_WINNT 0x0501 2.重新生成解决方案 至此可以正确使用boost::thread::sleep()或者boost::this_thre…
winxp系统,使用VS2010, 在使用boost中的thread中的sleep的时候出现 “无法定位程序输入点GetTickCount64 在动态链接库kernel32.dll上”的错误, 在网上搜索了解决方案,例如:(http://zhidao.baidu.com/question/525243508.html)都无法解决.在参考http://software.intel.com/en-us/forums/topic/345090后得到解决方法: 1.在“stdafx.h”中#includ…
串口通讯可以引出kernel32.dll中的API来操作,相关源码如下:using System;using System.Runtime.InteropServices; namespace Telehome.GSM{/// <summary>/// ************************************************************************************/// /// Function: 连接,断开串口;发送,接收串口数据,使用…
详细解读:远程线程注入DLL到PC版微信 一.远程线程注入的原理 1.其基础是在 Windows 系统中,每个 .exe 文件在双击打开时都会加载 kernel32.dll 这个系统模块,该模块中有一个 LoadLibrary() 函数,可以将DLL文件加载到自身进程中. 2.这样,就可以用 CreateRemoteThread() 函数创建一个远程线程,让目标进程调用LoadLibrary() 来加载我们自己写的DLL .CreateRemoteThread() 有这几个参数比较关键:A:想要…
C#中读取ini配置文件 [DllImport("kernel32.dll")] using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Runtime.InteropServices; namespace ConsoleApplication1{    class Program    {        /// <summary>     …
安装postman时遇到“无法定位程序输入点 SetDefaultDllDirectories于动态链接库KERNEL32.dll 上.”的问题 解决办法: 1.安装系统更新补丁KB2533623,下载地址: https://support.microsoft.com/en-us/help/2533623/microsoft-security-advisory-insecure-library-loading-could-allow-remot 2.下载完成,双击运行Windows6.1-KB2…
这叫引入kernel32.dll这个动态连接库. 这个动态连接库里面包含了很多WindowsAPI函数,如果你想使用这面的函数,就需要这么引入.举个例子: [DllImport("kernel32.dll")] private static extern void 函数名(参数,[参数]); 函数名就是一个属于kernel32.dll里的一个函数.完了你就可以用那个函数了. kernel32.dll调用kernel32.dll这个DLL里面的API接口! ---------------…
调用方法: private string mFileName; //INI文件名 public OneGanttINI(string pFileName) { this.mFileName = AppDomain.CurrentDomain.BaseDirectory + "\\" + pFileName; } //声明读写INI文件的API函数 [DllImport("kernel32")] private static extern long WritePriv…
https://www.cnblogs.com/cwy173/archive/2010/10/02/1841321.html Kernel32 API AddAtom 向本地原子表添加一个字符串 AllocConsole 为当前进程分配一个新控制台 AreFileApisANSI 确定一个WIN32文件函数集是否在使用ANSI或OEM字符集代码页 BackupRead 向一缓冲区读进与给定文件相关联的数据 BackupSeek 在访问数据流中向前搜索 BackupWrite 将数据传送到指定的文…
直接编译后运行,弹出提示框:不是有效的win32应用程序 像之前那样把msvcr110.dll复制过去依然报错: 这是因为vs2012编译的win32程序用到的系统函数在xp环境上对应不上.之前转载的这篇文章讲的这个问题:http://www.cnblogs.com/rixiang/p/7918825.html 需要使用对应的平台工具集.项目右键属性,配置属性-常规-平台工具集  结果发现,只有Visual Studio 2012 (v110)这一个工具集,没有xp的工具集. 在网上查资料,发现…
参考链接 : https://blog.csdn.net/gdali/article/details/93084828 https://tieba.baidu.com/p/5795675519?red_tag=2234370157…
读书笔记--[计算机病毒解密与对抗] 目录: 遍历进程&线程程序 终止进程 获取进程信息 获取进程内模块信息 获取进程命令行参数 代码运行环境:Win7 x64 VS2012 Update3 遍历系统中所有进程 #include <stdio.h> #include <windows.h> #include <TlHelp32.h> int main() { // 为进程的所有线程拍个快照 HANDLE hSnapshort = CreateToolhelp32…
每天我们都在使用Windows系统学习.编程.听音乐.玩游戏,Windows的操作想来是非常熟练了,但是你又对Windows究竟了解多少呢?本系列的目的,就是让你对Windows系统有个更直观.更清楚.更彻底的认识.尽管我们大多数人看不到Windows的源代码,对其内存调度算法这样的最深层次的技术内幕不能明窥,但是我们能够做到比方今知道的很多其它,了解这些之后你会发如今Windows上面开发会轻车熟路,不论什么木马病毒到了你机器上只是仅仅会成为你的试验品. 鉴于Windows 9X内核早已淘汰,…
内部组件 这些程序库文件通常不会被程序直接使用,不过它们却是用来实现其他程序库功能的重要程序库. Hal.dll Windows系统的硬件抽象层就是由Hal.dll实现[1].HAL提供很多函数,而这些函数在不同的硬件平台(以下皆指芯片组)皆有不一样的实现方式.因为Windows提供HAL这一个功能,所以大部分程序可以随意调用这些函数,而不需要顾及程序在何种平台上运行.举个例子,回应一个中断要求的方法在一台有或没有高级可编程中断控制器(APIC, Advanced Programmable In…
20145319 <计算机病毒>动态分析lab3-2(实践六) 实践过程 基础分析 拿到恶意代码时,首先使用PE ID打开,查看其中一些基础信息以及观察该恶意代码是否加壳,来确定下一步分析方向 从结果上来看,该恶意代码并未加壳,所以我们可以进行之前我们常用的一些静态分析手段,我们最关心的,则是这个恶意代码的导入导出表信息,通过分析其中调用的函数,对我们分析该代码功能有很大帮助 其中导入表函数与我们之前分析的恶意代码并无太大分别,内存操作相关的kernel32.dll提供c语言库函数wsvcrt…
本文网页排版有些差,已上传了doc,可以下载阅读.本文中的所有代码已打包,下载地址在此. -------------------------------------------------------------------------------------------------------------------------------------------------------------- 手写一个调试器有助于我们理解hook.进程注入等底层黑客技术具体实现,在编写过程中需要涉及大…
一.几个常用小工具: 1. 编译器:CL.EXE   将源文件转变为目标文件(汇编语言). CL.EXE  /c  xxx.c  或   xx.cpp cl.exe  -? 显示cl帮助 cl.exe  /c  只编译不链接 cl.exe  /Tc  编译c文件 cl.exe  /l   头文件路径 链接器:LINK.EXE  将目标文件转变为二进制文件(机器语言).   LINK.EXE  xxx.obj  user32.lib  xxx.lib等需要的相关库文件(link.exe   ***…
Lesson01 win32 Window 32位 编程 1.Windows编程基础 2.Windows的字符 3.窗口处理 4.消息处理 5.绘图 6.对话框 7.控件 Win32编程: Windows API:函数接口 一.Windows编程基础 1.Windows应用程序分类 1.1 控制台程序 DOS程序,本身没有窗口,通过WINDOWS下的DOS窗口执行. 1.2 窗口程序 拥有自己的窗口,通过窗口可以和用户进行交互 1.3 库程序 1.3.1 静态库程序 存放代码,数据的程序,其他执…
SDK (software devalopment kit) 软件开发工具包 : 一般都是一些软件工程师Wie特定的软件包.软件框架.硬件平台.操作系统等建立应用软件时的开发工具的集合. API (Application Programming interface) 应用程序接口: 其实就是操作系统留给应用程序的一个调用接口,应用程序通过调用凑走系统的API而使操作去执行应用程序的 命令(动作) DDL(Dynamic Link Library) 动态链接库: 在Windows环境下含有大量.d…
序言 本文介绍一个C++如何调用C#开发的dll实例. 前言 C++编写的程序为非托管代码,C#编写的程序为托管代码.托管代码虽然提供了其他开发平台没有的许多优势,但由于前期系统及历史版本很多使用的是非托管代码编写的程序,所以CLR提供了一些机制,允许在应用程序中同时包含托管和非托管代码.具体说分为以下三种: 托管代码能调用DLL中的非托管函数.通过P/Invoke(Platform Invoke)机制调用DLL中的函数,如Kernel32.dll等. 托管代码可以使用现有COM组件(服务器).…
摘 要:在<csdn开发高手>2004年第03期中的<化功大法——将DLL嵌入EXE>一文,介绍了如何把一个动态链接库作为一个资源嵌入到可执行文件,在可执行文件运行时,自动从资源中释放出来,通过静态加载延迟实现DLL函数的动态加载,程序退出后实现临时文件的自动删除,从而为解决“DLL Hell”提供了一种解决方案.这是一个很好的设计思想,而且该作者也用C++实现了,在Internet上也有相似的VB程序,但在某一技术论坛上提起这种设计方法时,有网友提出:“这种方法好是好,但就是启动…