Как получить адрес kernel32.dll
184
28 ноября 2017, 22:43
Как получить адрес kernel32.dll не используя функции WinAPI?
Распространенный способ - это
auto hKernel32 = *(HMODULE*)(*(DWORD*)(*(DWORD*)(*(DWORD*)(*(DWORD*)(__readfsdword(0x30) + 0x0C) + 0x14))) + 0x10);Здесь берется второй элемент списка InLoadOrderModuleList. Считается, что kernel32 всегда грузится второй (первой грузится ntdll).
Однако это не выглядит надежным, как написать лучше?
Answer 1
Как-то так, например
HMODULE FindKernel32Base() {
auto teb = (PTEB)__readfsdword(0x18);
auto link = teb->ProcessEnvironmentBlock->Ldr->InMemoryOrderModuleList.Flink;
for (;;) {
auto entry = PLDR_DATA_TABLE_ENTRY((char*)link - offsetof(LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks));
auto expected = "kernel32.dll";
auto name = entry->FullDllName.Buffer + entry->FullDllName.Length / 2 - strlen(expected);
while ((*name++ | 32) == *expected++ && *expected); // strcasecmp
if (*expected == '\0') {
return (HMODULE)entry->DllBase;
}
link = entry->InMemoryOrderLinks.Flink;
}
}Answer 2
Вместо того, чтобы полагаться на индекс, следует сделать полноценный поиск по InLoadOrderModuleList. Поле FullDllName в LDR_DATA_TABLE_ENTRY содержит имя модуля. Вместо всяких strcmp достаточно сравнить 1-2 DWORD'а.
-
17:06
-
19:12
-
21:12
Оборудование для ресторана: новинки профессиональной кухонной техники
-
22:17
-
22:13
Частный дом престарелых в Киеве: комфорт, забота и профессиональный уход
-
20:12
-
20:06
-
19:59
-
19:51
ТОП-10
- Почему SERVER_ADDR имеет не тот IP 48159 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30588 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 24102 visits
- Как через css изменить цвет png изображения? 10431 visits
- Blob video url download 10020 visits
- Php curl запрос через прокси с авторизацией 9302 visits
- Работа с captcha vk api 8163 visits
© "hostciti.net" 28.4.2025 | 21:17