어때요 참 쉽죠.
구하는 방법은 2가지 방법이 있습니다
간단하게 코드 짜는것은 첫번째 방법이며 그다음은 두번째 방법입니다
아래가 첫번째 방법
procedure TForm1.FormCreate(Sender: TObject);
var ntdllBase, Kernel32Base : DWORD;
begin
asm
mov eax,fs:[$18]; //TIB
mov ebx,[eax + $30] //PEB
mov ecx, [ebx + $0C]
mov ecx, [ecx + $1C]
mov eax, [ecx + $08] //여기가 1번째의 ntdll.dll base
mov ntdllBase,eax
mov ecx, [ecx]
mov ecx, [ecx]
mov eax, [ecx + $08] //여기가 2번째의 Kernel32.dll base
mov Kernel32Base, eax;
end;
ShowMessage('ntdllBase := ' + ntdllBase.ToHexString + ' Kernel32Base := ' + Kernel32Base.ToHexString);
end;
두번째 방법
1. uiBaseAddress 변수에 Ldr를 저장
2. uiValueA변수에 InMemoryOrderModuleList
3. uiValueB변수에 DllName의 버퍼를 지정
4 usCounter변수에 dllName의 길이 지정
5. usCounter 길이만큼 반복문을 이용하여 uiValueB 주소 메모리값 buffer의 Byte 값을 이용하여 Convert를하고
uiValueC를 해쉬값으로 만듭니다
5_1. Convert하는 이유는 DLLName중에서 대문자이거나 소문자인 경우가 있어서 통일성 있게 해줘야 합니다
(KERNEL32.DLL이나 kernel32.dll이나 KErnel32.dll) 이럴경우 대문자 소문자 통일성이 다르기 때문에
hash string값이 다르기에 대문자로 통일성 있게 변환 시켜줘야 합니다
5_2. uiValueC가 kernel32.dll 해쉬값이 맞지 않다면 inc(uiValueA)로 uiValueA값이 증가시킵니다
6. 그렇게 해서 uiValueC가 kernel32.dll 해쉬값이 맞다면 PLDR_DATA_TABLE_ENTRY(uiValueA).DllBase
DLL Base값을 uiBaseAddress 변수에 저장합니다 uiBaseAddress는 kernel32dll 베이스값이 들어가게 된것이죠
2번째 방법 같은경우 PPEB는 Type에 선언한 Record로 만든것이며
오프셋 개념도 알아두시면 좋고 선언에 따라 크기가 다르게 들어가고 sizeof의 값도 다르게 됩니다
'Delphi 예제 자료' 카테고리의 다른 글
| 델파이 ID3v2Library에서 타이틀 및 앨범 한글 글씨 깨짐 방지 (0) | 2022.01.18 |
|---|---|
| Refletive Injection DLL쪽 C 언어 소스를 델파이 번역 (소소한 강의) (0) | 2022.01.05 |
| C의 구조체와 공용체를 델파이로 간단 설명. (2) | 2021.12.18 |
| 체크박스 컴포넌트만 찾아서 전부 체크 및 해제 예제. (0) | 2021.12.13 |
| [windows,android] 델파이 BASS 라이브러리 통한 간단한 오디오 커팅한 구간 파일 생성하기 (0) | 2021.12.13 |
| 토크온 리방 용도 부모와 자식(FindWindow 와 FindWindowEx) 참고용 소스 (0) | 2021.12.13 |
| Character set UTF8 Decode 번역 (0) | 2021.12.13 |
| 델파이(delphi) Refletive Dll Injection + Loader (0) | 2021.12.13 |
댓글