Online: 0x065E (1630)

🧐 Kernel32 Imagebase
IT Security & Ethical hacking


fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 15 lat temu (21 sierpnia 2005 o godz. 13:40:47) przez fl3a
S┼éysza┼éem (znam) trzy metody na pobranie adresu kernel32, s─ů to: PEB, SEH i TOPSTACK . Pytanie, kt├│ra z nich jest najlepsza? Gdzie┼Ť wyczyta┼éem, ┼╝e jest jaka┼Ť mo┼╝liwo┼Ť─ç zlokalizowania ntdll bez lokalizowania kernel32 i u┼╝ywania eksportowanych przez niego funkcji - mo┼╝e kto┼Ť wie co┼Ť wi─Öcej na ten temat?

haker.com.pl

nBD
15:46 21-08-2005
Zobacz profil
 Napisane 15 lat temu (21 sierpnia 2005 o godz. 15:46:27) przez nBD
PEB - daje rad─Ö, oczywi┼Ťcie OS musi by─ç z rodziny NT, w sumie t─ů metod─Ö stosuj─Ö, bo jest ┼éatwa i szybka w Asm oczywi┼Ťcie.
TOPSTACK - [esp+0x1C] podobno nie zawsze zawiera adres kernel

Poczytaj:
http://www.hick.org/code/skape/shellcode/win32/generic.c
Tam jest fajnie opisane.

haker.com.pl

Jonny
06:22 26-08-2005
Zobacz profil
 Napisane 15 lat temu (26 sierpnia 2005 o godz. 06:22:07) przez Jonny
Topstack dzia┼éa tylko zaraz po utworzeniu procesu - spr├│buj wewn─Ötrznie z jakiego┼Ť dll dosta─ç t─ů metod─ů adres - nic z tego, bo tak na prawd─Ö to nie b─Ödziesz wiedzia┼é jak g┼é─Öboko postawiona jest ramka stosu - ile pami─Öci zajmuje stos od momentu utworzenia programu. W gruncie rzeczy tak na prawd─Ö to nie chodzi o sam adres kernel - bo niby po co ci on?. W gruncie rzeczy chodzi o adres tabeli eksport├│w (import├│w tez w niekt├│rych przypadkach), wi─Öc tak na prawd─Ö otrzymanie adresu kernel jest metod─ů po┼Ťredni─ů do tego, aby dosta─ç eksporty, ale jest jeszcze inne rozwi─ůzanie - bardziej uniwersalne, ale wi─Öcej miejsca zajmuje - chocia┼╝ w gruncie rzeczy, te┼╝ sprowadza si─Ö do dostania uchwytu (handlera) kernel (jak wiadomo handler dll jest adresem liniowym i jednocze┼Ťnie wskazuje na adres w pami─Öci). Jak si─Ö zastanowi─ç, to gdy wykonujesz jaki┼Ť kod - czy to wirus czy powiedzmy wywali┼éo Ci─Ö do jakiego┼Ť dll, bo u┼╝ywale┼Ť sploita albo exploita to zawsze masz 2 opcje (czasem 3 w ekstremalnym przypadku, ale dla u┼éatwienia mo┼╝emy go pomin─ů─ç, bo zdarza si─Ö nadzwyczaj rzadko) - albo wyl─ůdujesz w jakim┼Ť dll (zazwyczaj, bo przecie┼╝ chodzi przewa┼╝nie o zamazanie stosu, czyli odpalenie naszego kodu) albo w jakim┼Ť exe - w obu przypadkach jeste┼Ť w pliku formatu PE, wi─Öc ju┼╝ wiesz gdzie wyl─ůdowa┼ée┼Ť. Potem mo┼╝esz ju┼╝ tradycyjnie - w g├│r─Ö pami─Öci (cho─ç jest to troszk─Ö niebezpieczne, ale w gruncie rzeczy najlepsze) a┼╝ do adresu startu programu. No, a potem lecisz ju┼╝ tylko do adresu tabeli eksport├│w - proste i skuteczne - tylko ┼╝e to zajmuje miejsca w kodzie. W ka┼╝dych obecnych windach (no opr├│cz serii win9x), aby jaki┼Ť programik chodzi┼é, to plik PE musi eksportowa─ç jak─ů┼Ť funkcj─Ö kernel - wniosek - skoro w dll, gdzie wyl─ůdujesz b─Ödzie jaka┼Ť funkcja kernel, to masz i adres liniowy zmapowanego j─ůdra w przestrzeni adresowej naszego procesu - i dostaniesz wszystkie funkcje jadra, a w┼éa┼Ťnie tylko o to chodzi.

haker.com.pl

omega_red
19:49 11-01-2006
Zobacz profil
 Napisane 14 lat temu (11 stycznia 2006 o godz. 19:49:36) przez omega_red
Po co si─Ö martwi─ç o adres kernel, skoro mo┼╝na u┼╝ywa─ç syscalli ;)

haker.com.pl

© 2020 by haker.com.pl. Wszelkie prawa zastrze┼╝one.

Wszystkie tre┼Ťci umieszczone na tej witrynie s─ů chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawarto┼Ťci tej witryny bez zgody autora. Wszelkie opublikowane tutaj tre┼Ťci (w tym kody ┼║r├│d┼éowe i inne) s┼éu┼╝─ů wy┼é─ůcznie celom informacyjnym oraz edukacyjnym. W┼éa┼Ťciciele tej witryny nie ponosz─ů odpowiedzialno┼Ťci za ewentualne niezgodne z prawem wykorzystanie zasob├│w dost─Öpnych w witrynie. U┼╝ytkownik tej witryny o┼Ťwiadcza, ┼╝e z zamieszczonych tutaj danych korzysta na w┼éasn─ů odpowiedzialno┼Ť─ç. Wszelkie znaki towarowe i nazwy zastrze┼╝one zosta┼éy u┼╝yte jedynie w celach informacyjnych i nale┼╝─ů wy┼é─ůcznie do ich prawnych w┼éa┼Ťcicieli. Korzystaj─ůc z zasob├│w witryny haker.com.pl o┼Ťwiadczasz, ┼╝e akceptujesz powy┼╝sze warunki oraz polityk─Ö prywatno┼Ťci.