首页
论坛
课程
招聘
[Anti Virus专题]1.2 - 2.kernel32基地址获得
2009-4-10 15:09 65598

[Anti Virus专题]1.2 - 2.kernel32基地址获得

2009-4-10 15:09
65598
1.2 2.kernel32基地址获得

    

    kernel32基地址的获得也是病毒中必不可少的技术,因为在win32环境中一般初始化PE文件的时候,我们的ntdll.dll, kernel32.dll是随进程以及线程初始化时候加载的。所以即使程

序中我们不引入任何输入表结构,这两个DLL在我们程序进程以及线程初始化时也必须加载。所以我们今天这篇文章的目的就是在我们的进程内存空间中来获得加载kernel32.dll的基地址。因为我们获得

kernel32.dll的基地址后,就可以获得LoadLibray函数来继续加载其他的动态链接库,然后再通过我们的GetProcAdress函数来获得相应需要的api函数地址,这样也就做到了可移植性的要求,所有的函数

均是自己动态获取并填充。

    

    今天我给大家介绍三种获取kernel32.dll基地址的技术,其实还有部分方法也可以获得,只是这3种比较通用,也是病毒中经常用到的。它们分别是

    1. 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。

    2. 遍历seh异常链,然后获得EXCEPTION_REGISTRATION结构prev为-1的异常处理过程地址,这个异常处理过程地址是位于kernel32.dll,通过它搜索得到kernel32.dll的基地址。

    3. 通过TEB获得PEB结构地址,然后再获得PEB_LDR_DATA结构地址,然后遍历模块列表,查找kernel32.dll模块的基地址。
    
  1.

第一种方法:

  我们上面介绍了线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是

程序入口点处)通过获得堆栈指针中ExitThread函数(当然你要想创建一个线程时候获得也可以o(∩_∩)o...哈哈)。

  我们直接通过
  mov  edx, [esp] ;获得堆栈指针中ExitThread地址到edx寄存器。因为ExitThread地址在kernel32.dll空间中,所以我们可以通过它往上搜索来获得基地址。

  分析过kernel32.dll的朋友应该都知道kernel32.dll的块对齐值是00001000h, 并且一般DLL以1M为边界,所以我们可以通过10000h (64k) 作为跨度,这样可以增加搜索速度。我们如何确定这个

地址是基地址,我们都知道我们判断这个地址的前两个字节是否是"MZ",然后定位到PE头结构,然后判断是否是"PE",如果这两个都符合的话则表示我们的地址则是基地址了。。

  有了以上的了解我们就可以来写代码了。

  mov  edx, [esp] 
 .Next:  
  dec  edx  ;
  xor  dx, dx  ; 减去跨度
  cmp  word [edx], "MZ"
  jz  .IsPe
  jmp  .Next
  
 .IsPe:
  mov  eax, [edx+3ch]
  cmp  word [eax+edx], 'PE'
  jnz  .Next
  xchg  eax, edx   ; eax = kernel32 基地址

这里贴一个封装过的过程。

 ;++
 ;
 ; int
 ;   GetKrnlBase(
 ;      int KrnlApiAddress
 ;   )
 ;
 ; Routine Description:
 ;
 ;    获得kernel32基地址
 ;
 ; Arguments:
 ;
 ;    (esp)          - return address
 ;
 ;    Data   (esp+4) - KrnlApiAddress, ptr ApiAddress
 ;
 ;
 ; Return Value:
 ;
 ;    eax =  krnl32 base
 ;
 ;--

 GetKrnlBase:
   pop  eax
   pop  edx
   push  eax
   
 .Next:
   cmp  word [edx], 'MZ' 
   jz  .IsPe
  dec  edx
  xor  dx, dx
   jmp  .Next
 
 .IsPe:  
   mov  eax, [edx+3ch]
   cmp  word [eax+edx], 'PE'
   jnz  .Next
   xchg  eax, edx
   ret



  
2. 
  第二种方法:
  
  这个方法是遍历遍历seh异常链,然后获得EXCEPTION_REGISTRATION结构prev为-1的异常处理过程地址,这个异常处理过程地址是位于kernel32.dll,通过它搜索得到kernel32.dll的基地址。
搜索的方法在上面我已经说了,通过减去跨度,然后判断地址前两字节是否是"MZ",是的话,继续定位到PE头结构,然后判断前两个字节是否是"PE",不是的话继续减去跨度搜索。直到是为止。

  struct EXCEPTION_REGISTRATION 
        prev dd ?                       
        handler dd ?                   
  ends 

  遍历的方法也很简单,我们都知道[fs:0]的ExceptionList 指向EXCEPTION_REGISTRATION结构,所以通过[fs:0]获得EXCEPTION_REGISTRATION结构后,判断prev成员是否是-1,如果是的话则取

异常处理过程地址,然后进行搜索。
  
  
  有了思路,我们开始写代码。

  mov  edx, [fs:0]  ;获得EXCEPTION_REGISTRATION结构地址
 .Next:
  inc  dword [edx]  ;将prev成员 + 1
  jz  .Krnl    ;如果ZF = 1, 则跳转.Krnl
  dec  dword [edx]
  mov  edx,  [edx]
  jmp  .Next
 .Krnl:
  dec  dword [edx]  ;恢复 -1
  mov  edx, [edx+4]  ;获得handler, 然后下面进行搜索..
 .Loop:
  cmp  word [edx], 'MZ' 
   jz  .IsPe
  dec  edx
  xor  dx, dx
  jmp  .Loop

 .IsPe:  
   mov  eax, [edx+3ch]
   cmp  word [eax+edx], 'PE'
   jnz  .Next
   xchg  eax, edx  ; eax = kernel32 基地址

一个封装过的过程:
 ;++
 ;
 ; int
 ;   GetKrnlBase2(
 ;    void
 ;   )
 ;
 ; Routine Description:
 ;
 ;    获得kernel32基地址
 ;
 ; Arguments:
 ;
 ;    (esp)          - return address
 ;
 ;
 ; Return Value:
 ;
 ;    eax =  krnl32 base
 ;
 ;--
 
 GetKrnlBase2:
   mov  edx, [fs:0]
 .Next:
  inc  dword [edx]
  jz  .Krnl
  dec  dword [edx]
  mov  edx,  [edx]
  jmp  .Next
 .Krnl:
  dec  dword [edx]
  mov  edx, [edx+4]
 .Loop:
  cmp  word [edx], 'MZ' 
   jz  .IsPe
  dec  edx
  xor  dx, dx
  jmp  .Loop

 .IsPe:  
   mov  eax, [edx+3ch]
   cmp  word [eax+edx], 'PE'
   jnz  .Next
   xchg  eax, edx
   ret


3. 

第三种方法:

  此方法是通过TEB获得PEB结构地址,然后再获得PEB_LDR_DATA结构地址,然后遍历模块列表,查找kernel32.dll模块的基地址。

  TEB是线程环境块(Thread Environment Block)结构, 我们的fs段选择子所对应的段指向TEB,也就是fs:0(注意这里可不是“[fs:0]”)指向TEB.那么TEB的ProcessEnvironmentBlock结构成员指

向我们的PEB进程环境块结构(Process Environment Block),然后通过PEB结构来获得PEB_LDR_DATA。 接下来我们通过windbg来查看下相关结构。

我们首先来看下TEB结构,通过windbg的dt命令。

lkd> dt _TEB
nt!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB  ;;;;;;;;;;

   ......省略

我们可以看到TEB结构的0x30偏移处存储的我们的PEB结构的地址。。

   然后接下来我们来看PEB结构。

lkd> dt _PEB
nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   ..........省略

我们可以看到PEB结构的0x0c偏移处存储的我们的_PEB_LDR_DATA结构地址。

    好到这里我们可以先把获得_PEB_LDR_DATA结构地址的代码写出来。

    mov eax, [fs:30h] ;Get Peb
    mov eax, [eax+0ch] ;Get _PEB_LDR_DATA

然后我们再来查看 _PEB_LDR_DATA结构

lkd> dt _PEB_LDR_DATA
nt!_PEB_LDR_DATA
   +0x000 Length           : Uint4B
   +0x004 Initialized      : UChar
   +0x008 SsHandle         : Ptr32 Void
   +0x00c InLoadOrderModuleList : _LIST_ENTRY
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY
   +0x024 EntryInProgress  : Ptr32 Void

我们看到这个结构中的模块立标有3个_LIST_ENTRY结构,它们分别是
InLoadOrderModuleList (加载顺序模块列表)
InMemoryOrderModuleList(内存顺序模块排列)
InInitializationOrderModuleList(初始化顺序模块列表)

然后我们继续查看这个结构。

nt!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY
   +0x004 Blink            : Ptr32 _LIST_ENTRY
  
这个结构我们可以看到它是一个双向链表,Flink表示从前往后, Blink表示从后往前。

并且这三个链表的结点是均是指向此结构

typedef struct _LDR_MODULE
{
    LIST_ENTRY        InLoadOrderModuleList;            // +0x00
    LIST_ENTRY        InMemoryOrderModuleList;          // +0x08
    LIST_ENTRY        InInitializationOrderModuleList;  // +0x10
    PVOID             BaseAddress;                      // +0x18
    PVOID             EntryPoint;                       // +0x1c
    ULONG             SizeOfImage;                      // +0x20
    UNICODE_STRING    FullDllName;                      // +0x24
    UNICODE_STRING    BaseDllName;                      // +0x2c
    ULONG             Flags;                            // +0x34
    SHORT             LoadCount;                        // +0x38
    SHORT             TlsIndex;                         // +0x3a
    LIST_ENTRY        HashTableEntry;                   // +0x3c
    ULONG             TimeDateStamp;                    // +0x44
                                                        // +0x48
} LDR_MODULE, *PLDR_MODULE;

我们一般取它的初始化顺序结构(InInitializationOrderModuleList)的Flink成员指向的_LDR_MODULE结构的BaseAddress成员则为我们需要的基地址,当然由于第一个是
ntdll,所以取第二个则为我们的Kernel32.dll。

OK我们开始写代码,上面我们已经写了取得_PEB_LDR_DATA结构地址的代码了。我们把它copy下来。

    mov eax, [fs:30h] ;Get Peb
    mov eax, [eax+0ch] ;Get _PEB_LDR_DATA
    mov eax, [eax+1ch];Get InInitializationOrderModuleList.Flink, 此时eax指向的是ntdll模块的InInitializationOrderModuleList线性地址。所以我们获得它的下一个则是kernel32.dll
    mov eax, [eax]
    mov eax, [eax+8] ; 8 = sizeof.LIST_ENTRY
    ret

同样我们贴一个封装过的过程。
 ;++
 ;
 ; int
 ;   GetKrnlBase3(
 ;    void
 ;   )
 ;
 ; Routine Description:
 ;
 ;    获得kernel32基地址
 ;
 ; Arguments:
 ;
 ;    (esp)          - return address
 ;
 ;
 ; Return Value:
 ;
 ;    eax =  krnl32 base
 ;
 ;--
 
 GetKrnlBase3:
   mov  eax, [fs:30h]
   mov  eax, [eax+0ch]
   mov  eax, [eax+1ch]
   mov  eax, [eax]
  mov  eax, [eax+8h]
  ret   
 


附件为此三种方法的代码和bin。

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (86)
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-10 15:13
2
0
请问这是什么fasm?

注:我才是第一个顶的.别的都是假的.
雪    币: 2362
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zapline 活跃值 2009-4-10 15:14
3
0
支持一下。。
雪    币: 265
活跃值: 活跃值 (29)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
moonife 活跃值 8 2009-4-10 15:15
4
0
这么好的系列文章,我一定要顶啊
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-10 15:27
5
0
传统的fasm啊,写这个专题我基本上没有用宏。所以大家可以直接编译的。

这里下载。
http://flatassembler.net/download.php
雪    币: 2362
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zapline 活跃值 2009-4-10 15:29
6
0
#include "stdio.h"
void main()
{
        long addr;
       
        __asm
        {
                mov  eax, fs:[30h]
                mov  eax, [eax+0ch]
                mov  eax, [eax+1ch]
                mov  eax, [eax]
                mov  eax, [eax+8h]
                mov  addr,eax
        }
        printf("%lx\n",addr);
}

只用汇编还是不会写啥东西,学习
再支持一下
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-10 15:37
7
0
[QUOTE=zapline;604624]#include "stdio.h"
void main()
{
        long addr;
       
        __asm
        {
                mov  eax, fs:[30h]
                mov  eax, [eax+0ch]
                mov  eax, [eax+1ch]
                mov  eax, [eax]
...[/QUOTE]

代码最重要还是要理解。
如果仅写不理解的话就没什么意思了。
希望这个专题能让大家学到的是思路而并非是如何写。
雪    币: 204
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
udknight 活跃值 2009-4-10 15:38
8
0
lz的文章很不错啊,希望能多看到这个系列的作品
雪    币: 109
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhoro 活跃值 2009-4-10 16:12
9
0
是不是从29a搞过来的。。。。老东西了
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-10 16:24
10
0
哎。
现在的人可悲的是连看都没有看就在那乱评论。
麻烦你去从29a一期杂志到八期杂志找找。
文章我力求从原理开始讲解,从文章也应该可以看到讲解更多的是原理以及思路。而且代码也更加短小精炼。每篇文章我花费不少心心思来想如何更全面更易懂的方式的来讲解,这年头鸟人就是多。
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-10 16:29
11
0
好强大.顶!
雪    币: 666
活跃值: 活跃值 (26)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
轩辕小聪 活跃值 7 2009-4-10 17:30
12
0
楼主给个系统的总结是很好的,而且写得比较详细。虽然这三种方法是很早就有人总结过了。
另外第一种方法因为依赖于主线程初始化时的堆栈地址,因此一般在PE感染型病毒里使用,基本不用在shellcode里。
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-10 17:34
13
0
好多计算机语言都消亡了.
能读懂这些濒危语言的人都是国宝.
雪    币: 281
活跃值: 活跃值 (1707)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2009-4-10 17:48
14
0
感谢xfish的系列教学。
愿意将自己所掌握的知识拿出来与大家分享,就值得肯定。
有些知识点论坛也有,但整理梳理一下,对想学的人还是很有帮助的。
不足的地方,可以一起讨论,xfish再改进。
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-10 17:54
15
0
不仅仅是主线程,只要shellcode中能取得CreateThread函数地址,那么创建工作线程在工作线程中取得然后写入回来也可以。

而且其实还有很多其他的思路,例如通过异常然后通过异常环境此时的线程环境来取得Kernel32.dll的地址,然后进行搜索等。。
雪    币: 367
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:230 )
在线值:
发帖
回帖
粉丝
nba2005 活跃值 5 2009-4-10 18:41
16
0
认真学习,好好领会。。。

支持楼主的系列。。。
雪    币: 108
活跃值: 活跃值 (66)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2009-4-10 18:49
17
0
文章写的不错,比较喜欢。但有两处笔误,都是以下这句。

mov eax, [fs:0ch] ;Get _PEB_LDR_DATA
雪    币: 326
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
快雪时晴 活跃值 4 2009-4-10 19:50
18
0
能写汇编的都是高手
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-10 20:25
19
0
[QUOTE=combojiang;604742]文章写的不错,比较喜欢。但有两处笔误,都是以下这句。

mov eax, [fs:0ch] ;Get _PEB_LDR_DATA[/QUOTE]

感谢指出,的确笔误,已经修正。。
雪    币: 367
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
flowons 活跃值 2 2009-4-10 22:24
20
0
支持楼主,顶!
雪    币: 99
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
twoseconds 活跃值 2009-4-10 23:31
21
0
顶顶顶,,,,
雪    币: 102
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
御剑圣者 活跃值 2009-4-11 00:14
22
0
学习了,明天继续
雪    币: 666
活跃值: 活跃值 (26)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
轩辕小聪 活跃值 7 2009-4-11 03:54
23
0
这就变成“先有蛋还是先有鸡”的问题了,你要取得CreateThread函数地址,用啥方法?还是先取kernel32.dll再得到CreateThread地址的。或者说,如果都有了CreateThread函数地址了,那直接用这函数地址去搜索kernel32.dll就行了。
雪    币: 266
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
xfish 活跃值 5 2009-4-11 14:51
24
0
刚起来..

  我在开头已经说了,线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,一般我们在主线程初始化时来进行取得。这个方法的原理就是这样,而你在下面又叙述了遍而且说只能依赖主线程初始化时取得,这句话本来就是错的,任何线程都可以,我在文章早也已经说了原理。

  所以我才要反驳你,这的确是先有蛋还是先有鸡,其实这个本就没什么讨论的,我在文章中早已经说过了,而你非要提下只能依赖主线程初始化时来进行取得。这个本身在shellcode中,只要先拿到鸡,然后在去拿蛋也可以,难道不是吗。。获取kernel32基地址方法本就很多,看你如何运用思路了,如我前面所提的思路等。。

下了,周末出去放松去了。。周一见吧。。。
雪    币: 205
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wowzjj 活跃值 2009-4-11 17:36
25
0
支持下,希望楼主坚持把教学搞完,千万别夭折了.
游客
登录 | 注册 方可回帖
返回