La base addresse du Kernel32.dll avec un code inconnu !

Version imprimable

Salut !

Je suis un nouveau membre dans ce forum. J'ai trouvé un code en Assembleur 32 bits bien sûr, pour obtenir la base address du Kernel32.dll. Mais, j'ai pas compris une partie dans ce code-là :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
            xor eax, eax                           ; eax = 0
            add eax, 48                           ; 30h = PEB
            mov ecx, fs:[eax]                   ; Into PEB
            mov ecx, [ecx + 0x0C]            ; PEB->LDR
            mov ecx, [ecx + 0x14]            ; 1st Entry
            mov ecx, [ecx]                       ; 2nd Entry
            mov ecx, [ecx]                       ; 3rd Entry
            mov ecx, [ecx + 0x10]            ; Kernel32.dll Base Address
            push ecx                               ; Save the Kernel32.dll Base Address in Stack
 
 -------------------------------------------
      mov ecx, [ecx]  ; 2nd Entry
      mov ecx, [ecx]  ; 3rd Entry
--------------------------------------------

J'ai pas compris cette partie de code, c'est le même code, mais il retourne une adresse différente par rapport à l'autre.

Y a t-il quelqu'un entre vous qui peut m'aider à comprendre cet trick ?

Merci en avance.

12/07/2014, 00h04
Forthman

c'est juste que le contenu de l'adresse pointe sur le contenu d'une autre adresse ...etc...
12/07/2014, 00h57
The Hidden Ghost

Pouvez-vous me donner un exemple simple qui montre cet concept ? ou donner une explication de cela en ce qui concerne la mémoire :roll:.

J'attend votre réponse :mouarf:
12/07/2014, 13h57
Obsidian

Bonjour et bienvenue,

Citation:

Envoyé par Chupacabra

Pouvez-vous me donner un exemple simple qui montre cet concept ? ou donner une explication de cela en ce qui concerne la mémoire

Il s'agit d'une « indirection ». Si tu as fait du langage C, tu serais ici en présence de pointeurs.

Lorsque tu lis « [ecx] », les crochets signifient qu'on ne se réfère pas à la valeur de ECX mais à la valeur en mémoire pointée par ECX. Il se trouve simplement qu'en l'occurence, la valeur en question va être chargée dans ce même registre ECX (et donc écraser la précédente). La valeur qui va être rapatriée ici est en fait une autre adresse mémoire, auquel on va faire subir le même traitement. Par conséquent, les deux instructions ont beau être les mêmes, puisque le contenu de ECX change de l'une à l'autre, le résultat sera différent aussi.
12/07/2014, 16h24
The Hidden Ghost

Salut Obsidian !

Pouvez-vous me donner un exemple en C ou en Assembleur qui explique cette( Massive Hurdle ) ? :?
J'ai pas compris, j'opte l'explication avec des exemples...

Pardon, si je suis stupide :oops:

Merci en avance.
13/07/2014, 00h15
Forthman

Bonsoir,

Petit exemple avec des valeurs au hasard.

si ecx=1234h

mov ecx,[ecx+0x1E]

place dans ecx le contenu de l'adresse 1252h (1234h+1Eh)

si tu refais un

mov ecx,[ecx]

c'est la valeur chargée précédemment dans ecx qui sert d'adresse.

Comme l'a dit Obsidian, c'est le fonctionnement des pointeurs ;)