暴力有哪些信誉好的足球投注网站内存空间获得 Api 的线性地址.docVIP

下载本文档

8
0
约7.22千字
约 8页
2018-03-31 发布于江西
举报
版权申诉

暴力有哪些信誉好的足球投注网站内存空间获得 Api 的线性地址.doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

暴力有哪些信誉好的足球投注网站内存空间获得 Api 的线性地址

暴力有哪些信誉好的足球投注网站内存空间获得 Api 的线性地址????? 首先我们来看看为什么要在内存中有哪些信誉好的足球投注网站?Api?的线性地址。我们知道，一个?PE?文件在编译和连接成功后，会有一个?import?table?，当需要执行?Api?的时候，会先在?import?table?中得到?Api?的地址，然后调用它。这在一般的情况下是足以应付要求的了，可是当有病毒插入宿主的时候，情况就不同了——病毒是在?PE?文件编译好之后才插入的，它本身没有?import?table?，那么要如何得到?Api?的地址呢？我们首先知道，任何一个?Dll?，都可以用?LoadLibraryA?来装入，然后通过?GetProcAddress?来取得这个?Dll?中的函数的地址。但是，这里就有个蛋生鸡还是鸡生蛋的问题了——我们能够通过?LoadLibraryA?和?GetProcAddress?来获得别的?Api?的地址，但是我们如何能够获得这两个?Api?的地址呢？现在比较通用的技术是在整个?4GB?的内存空间中暴力有哪些信誉好的足球投注网站?Kernel32.dll?的基地址，然后从?Kernel32.dll?的?export?table?中取得?LoadLibraryA?和?GetProcAddress?的地址。有了这两个?Api?，我们就可以导入别的?Dll?，然后进一步得到那个?Dll?中的函数的线性地址了。不难吧？不过你或许会有个疑问：为什么能够从?4GB?的内存中得到?Kernel32.dll?的基地址呢？其实是这样的，Dll?有一个非常特殊的特性：当有别的程序调用它的时候，它的文件映象就会动态地映射到调用进程的内存地址空间。一般情况下，一个程序在运行的时候，?Kernel32.dll?这个?Dll?都会被映射到该程序的内存地址空间，成为它的一部分——这样一来，我们不就可以在宿主的内存地址空间中有哪些信誉好的足球投注网站到?Kernel32.dll?的基地址了吗？很好，相信你已经看明白了。Let’s?go?on! 众所周知，Kernel32.dll?也是一个?PE?文件，我们在内存中有哪些信誉好的足球投注网站它的时候，只需要按照判断?PE?文件的方法来执行就?OK?了。值得注意的是，在不同的操作系统下，Kernel32.dll?的基地址是不同的，例如，98?下它是?BFF70000h?，?2K?为?77E80000h?，?XP?为?77E60000h?。由于它们都在?以上，所以为了加速有哪些信誉好的足球投注网站，我们可以就从?开始，或者是反过来，从栈顶?[esp]?开始，往下递减，减少到?为止。当然，如果是一个一个字节地进行有哪些信誉好的足球投注网站，那么速度也太慢了吧？！由于?Dll?一般是以?1M?为边界，所以我们可以用?10000h?(64k)?作为跨度，这样可以大大加快有哪些信誉好的足球投注网站速度。值得补充的是，?4GB?的内存地址并不是完全可读的，如果遇到了不能读的地方，就会产生?GPF?（General?Protect?Fault，一般保护性错误）。幸好?Micro$oft?已经为我们预留了一种办法——可以用?SEH?来解决。不过在实际的试验中，我发现?GPE?还没有真正产生过，所以本文为了尽量简化操作，并没有使用?SEH?技术，如果你觉得有需要的话，请自行参考有关资料。得到了?Kernel32.dll?的基地址后，我们如何得到它的?export?table?呢？如上所述，?Kernel32.dll?也是一个?PE?文件，我们完全可以按照处理一般的?PE?文件的方法来获得它的?export?table?。在?PE?文件头有一个叫做?DataDirectory?的数据目录，它储存的是?PE?文件的一些重要部分的起始?RVA?和尺寸，目的是使?PE?文件的装入更加快速。?DataDirectory?的第一项就是?export?table?，所以我们可以定位到?DataDirectory?，然后读取它的第一个?VirtualAddress?，这样就得到了?export?table?的?RVA?。随后，我们就要在?Kernel32.dll?的?export?table?中查找我们感兴趣的?Api?的地址。这里涉及到比较繁琐的?PE?文件操作，我就不具体进行分析了，请读者自行参考?Iczelion?的?PE?格式教程的?export?table?部分。下面我只具体谈谈如何通过函数名字获取函数地址： 1、定位到?PE?Header。2、从数据目录读取引出表的虚拟地址。3、定位引出表获取名字数目(?NumberOfNames?)。4、并行遍历?AddressOfNames?和?AddressOfNameOrdinals?指向的数组匹配名字。如果在?AddressOfNames?指向的数组中找到匹配名字，就从?Addr