?? getkernel32base.cpp
字號:
#include <stdio.h>
#include <conio.h>
__inline __declspec(naked) unsigned int GetKernel32()
{
__asm
{
push esi
push ecx
mov esi,fs:0
lodsd
retry:
cmp [eax],0xffffffff
je exit//如果到達最后一個節點(它的pfnHandler指向UnhandledExceptionFilter)
mov eax,[eax]//否則往后遍歷,一直到最后一個節點
jmp retry
exit:
mov eax, [eax+4]
FindMZ:
and eax,0xffff0000//根據PE執行文件以64k對界的特征加快查找速度
cmp word ptr [eax],'ZM'//根據PE可執行文件特征查找KERNEL32.DLL的基址
jne MoveUp//如果當前地址不符全MZ頭部特征,則向上查找
mov ecx,[eax+0x3c]
add ecx,eax
cmp word ptr [ecx],'EP'//根據PE可執行文件特征查找KERNEL32.DLL的基址
je Found//如果符合MZ及PE頭部特征,則認為已經找到,并通過Eax返回給調用者
MoveUp:
dec eax//準備指向下一個界起始地址
jmp FindMZ
Found:
pop ecx
pop esi
ret
}
}
void main(void)
{
printf("%0.8X\n",GetKernel32());
getch();
}
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -