有些时候,我们需要动态获取一些API的VA,然后才能调用它们.比如在对PE可执行文件进行二次开发或编写注入shellcode时,这时很有可能我们想调用的API没有被该PE文件导入,或者其所处的DLL根本没被该PE引用载入.这时,我们的解决方法可以是(罗云彬的<<Win32汇编>>和<<0day安全>>都是用的这个方法,具体细节有点不同):
(1)动态获取kernel.dll载入基地址.
(2)根据kernel.dll的导出表找到LoadLibrary的地址.
(3)调用LoadLibrary加载所需的DLL.
(4)跟第(2)步同样的方法取得所需API的地址.
经过我的学习对比,两本书讲解的方法只是在第(1)步有所不同而已.
前者是利用了这么一个事实:程序进入OEP时,它的上一层栈帧是位于kernel.dll中的.很好理解,我们打开一个可执行文件时,系统会调用kernel.dll中的mainCRTStartup或WinMainCRTStartup,这个API内部再调用程序的main或WinMain.而我们知道,刚通过call进入一个子函数的时候,这时ESP指向单元包含了ret地址.所以程序进入其OEP时,ESP包含的地址是指向kernel.dll中某处的.于是,我们就能通过笨办法来搜索获取到kernel.dll的载入基地址:由ESP所指地址,一页一页的往前搜索,只要搜到了有PEDOS文件头和PENT文件头那页,当然就找到了基地址,期间注意按页分配粒度进行对齐.
而后者采用的方法更专业.简要来说我们是能通过用户态的FS寄存器获取到程序载入所有DLL的相关信息的,如下图:
这两种动态获取kernel.dll载入基地址的方法在下面这篇转载的文章中也详细的介绍了(其中的命题一即讲了该文的第二种方法,命题一跟该文第一种方法本质一样手段有些许区别:他是通过FS寄存器取到TEB结构,然后取TEB的第一个成员NT_TIB,NT_TIB中的StackBase成员即标识了当前线程的线程栈的起源地址.转载文还讲解了命题3:通过SEH来获取kernel.dll基地址的方法,由于自己还没学习过SEH,所以暂时不研究了).