PEB遍历进程加载模块

最新推荐文章于 2022-05-06 19:33:12 发布
最新推荐文章于 2022-05-06 19:33:12 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15069267/article/details/52540217
版权



按照图片的步骤来

首先找到EPROCESS


以CMD.exe为例子

PROCESS 85fa2b38  SessionId: 0  Cid: 0fc8    Peb: 7ffda000  ParentCid: 05f8
    DirBase: 0f3c03a0  ObjectTable: e1fa93c8  HandleCount:  34.
    Image: cmd.exe

可以看到peb为 7ffda000  

进入进程空间

kd> .process 85fa2b38  
Implicit process is now 85fa2b38
WARNING: .cache forcedecodeuser is not enabled


查看PEB 
kd> dt _PEB 7ffda000  
nt!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0 ''
   +0x003 SpareBool        : 0 ''
   +0x004 Mutant           : 0xffffffff Void
   +0x008 ImageBaseAddress : 0x4ad00000 Void
   +0x00c Ldr              : 0x00251e90 _PEB_LDR_DATA
   +0x010 ProcessParameters : 0x00020000 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : (null) 
   +0x018 ProcessHeap      : 0x00150000 Void
   +0x01c FastPebLock      : 0x7c99d600 _RTL_CRITICAL_SECTION
   +0x020 FastPebLockRoutine : 0x7c921000 Void
   +0x024 FastPebUnlockRoutine : 0x7c9210e0 Void
   +0x028 EnvironmentUpdateCount : 2
   +0x02c KernelCallbackTable : 0x77d12970 Void
   +0x030 SystemReserved   : [1] 0
   +0x034 AtlThunkSListPtr32 : 0
   +0x038 FreeList         : (null) 
   +0x03c TlsExpansionCounter : 0
   +0x040 TlsBitmap        : 0x7c99d5c0 Void
   +0x044 TlsBitmapBits    : [2] 0xffff
   +0x04c ReadOnlySharedMemoryBase : 0x7f6f0000 Void
   +0x050 ReadOnlySharedMemoryHeap : 0x7f6f0000 Void
   +0x054 ReadOnlyStaticServerData : 0x7f6f0688  -> ???? 
   +0x058 AnsiCodePageData : 0x7ffa0000 Void
   +0x05c OemCodePageData  : 0x7ffa0000 Void
   +0x060 UnicodeCaseTableData : 0x7ffd1000 Void
   +0x064 NumberOfProcessors : 1
   +0x068 NtGlobalFlag     : 0
   +0x070 CriticalSectionTimeout : _LARGE_INTEGER 0xffffe86d`079b8000
   +0x078 HeapSegmentReserve : 0x100000
   +0x07c HeapSegmentCommit : 0x2000
   +0x080 HeapDeCommitTotalFreeThreshold : 0x10000
   +0x084 HeapDeCommitFreeBlockThreshold : 0x1000
   +0x088 NumberOfHeaps    : 9
   +0x08c MaximumNumberOfHeaps : 0x10
   +0x090 ProcessHeaps     : 0x7c99cfc0  -> 0x00150000 Void
   +0x094 GdiSharedHandleTable : 0x00570000 Void
   +0x098 ProcessStarterHelper : (null) 
   +0x09c GdiDCAttributeList : 0x14
   +0x0a0 LoaderLock       : 0x7c99b178 Void
   +0x0a4 OSMajorVersion   : 5
   +0x0a8 OSMinorVersion   : 1
   +0x0ac OSBuildNumber    : 0xa28
   +0x0ae OSCSDVersion     : 0x300
   +0x0b0 OSPlatformId     : 2
   +0x0b4 ImageSubsystem   : 3
   +0x0b8 ImageSubsystemMajorVersion : 4
   +0x0bc ImageSubsystemMinorVersion : 0
   +0x0c0 ImageProcessAffinityMask : 0
   +0x0c4 GdiHandleBuffer  : [34] 0
   +0x14c PostProcessInitRoutine : (null) 
   +0x150 TlsExpansionBitmap : 0x7c99d5b8 Void
   +0x154 TlsExpansionBitmapBits : [32] 0
   +0x1d4 SessionId        : 0
   +0x1d8 AppCompatFlags   : _ULARGE_INTEGER 0x0
   +0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER 0x0
   +0x1e8 pShimData        : (null) 
   +0x1ec AppCompatInfo    : (null) 
   +0x1f0 CSDVersion       : _UNICODE_STRING "--- memory read error at address 0x7f6f06c2 ---"
   +0x1f8 ActivationContextData : (null) 
   +0x1fc ProcessAssemblyStorageMap : (null) 
   +0x200 SystemDefaultActivationContextData : 0x00140000 Void
   +0x204 SystemAssemblyStorageMap : (null) 
   +0x208 MinimumStackCommit : 0

查看 
_PEB_LDR_DATA


kd> dt _PEB_LDR_DATA 0x00251e90 
nt!_PEB_LDR_DATA
   +0x000 Length           : 0x28
   +0x004 Initialized      : 0x1 ''
   +0x008 SsHandle         : (null) 
   +0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x251ec0 - 0x252ee0 ]
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY [ 0x251ec8 - 0x252ee8 ]
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY [ 0x251f28 - 0x252ef0 ]
   +0x024 EntryInProgress  : (null)

查看_LDR_DATA_TABLE_ENTRY  


kd> dt _LDR_DATA_TABLE_ENTRY 0x251ec0 
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x251f18 - 0x251e9c ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0x251f20 - 0x251ea4 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x018 DllBase          : 0x4ad00000 Void
   +0x01c EntryPoint       : 0x4ad05046 Void
   +0x020 SizeOfImage      : 0x75000
   +0x024 FullDllName      : _UNICODE_STRING "???????????????????????????"
   +0x02c BaseDllName      : _UNICODE_STRING "???????"
   +0x034 Flags            : 0x5000
   +0x038 LoadCount        : 0xffff
   +0x03a TlsIndex         : 0
   +0x03c HashLinks        : _LIST_ENTRY [ 0x252dd4 - 0x7c99b270 ]
   +0x03c SectionPointer   : 0x00252dd4 Void
   +0x040 CheckSum         : 0x7c99b270
   +0x044 TimeDateStamp    : 0x48025baf
   +0x044 LoadedImports    : 0x48025baf Void
   +0x048 EntryPointActivationContext : (null) 
   +0x04c PatchInformation : (null)



可以看到我们的FullDLLName虽然显示不出但是我们可以验证下一个0x251f18


kd> dt _LDR_DATA_TABLE_ENTRY 0x251f18 
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ <span style="color:#ff0000;">0x251fc0</span> - 0x251ec0 ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0x251fc8 - 0x251ec8 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x251fd0 - 0x251eac ]
   +0x018 DllBase          : 0x7c920000 Void
   +0x01c EntryPoint       : 0x7c932c28 Void
   +0x020 SizeOfImage      : 0x93000
   +0x024 FullDllName      : _UNICODE_STRING "C:\WINDOWS\system32\ntdll.dll"
   +0x02c BaseDllName      : _UNICODE_STRING "ntdll.dll"
   +0x034 Flags            : 0x80084004
   +0x038 LoadCount        : 0xffff
   +0x03a TlsIndex         : 0
   +0x03c HashLinks        : _LIST_ENTRY [ 0x7c99b2c8 - 0x7c99b2c8 ]
   +0x03c SectionPointer   : 0x7c99b2c8 Void
   +0x040 CheckSum         : 0x7c99b2c8
   +0x044 TimeDateStamp    : 0x4802bdc5
   +0x044 LoadedImports    : 0x4802bdc5 Void
   +0x048 EntryPointActivationContext : (null) 
   +0x04c PatchInformation : (null)


然后再通过

 +0x000 InLoadOrderLinks : _LIST_ENTRY [ <span style="color:#ff0000;">0x251fc0</span> - 0x251ec0 ]

直到遍历回最初的模块就是的了

马上飞-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程加载模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
PEBPEB_LDR_DATA结构
BetaBin
04-20 9915
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001
通过PEB遍历当前进程中的模块(C语言实现)
aigo10000的博客
05-14 579
0x00 相关说明: Windows应用层如果要遍历当前进程加载模块可以使用WIN32API通过进程快照来实现 通过PEB遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x01 相关数据结构: 下面的数据结构可以在windbg中使用命令查看(使用 dt ...
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
PEB遍历进程所有模块
YL_WH的专栏
12-11 4416
<br /> int main(int argc, char* argv[]) { BYTE *pbytePEB = NULL; _asm { mov eax, dword ptr fs:[0x30] mov pbytePEB, eax } printf("PEB Addr: %x/n", pbytePEB); BYTE *pLdrData = pbytePEB + 0x0C; pLdrData = (BYTE *)*(DWORD *)pLdrDa
使用ZwQueryVirtualMemory枚举进程模块支持x64
zhuhuibeishadiao
05-02 7844
#include "stdio.h" #include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO
通过PEB的Ldr枚举进程内所有已加载模块
weixin_34396902的博客
03-02 121
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT...
遍历PEB结构
sxr__nc的博客
09-03 693
在进行脱壳练习的时候,遇到了这方面的难题,遂,研究了一下:大概的遍历过程如下: 首先,我们要知道,32位的程序和64位程序的区别:那就是32位的程序TEB以及PEB都在fs段里边,而64位程序的TEB和PEB都在gs段里边,这是非常重要的:好接下来步入正题: 首先我们来看一下TEB的结构: 接下来我们可以来看一下PEB的具体结构:(那么怎么从TEB到PEB结构呢?我们从刚才那张图可以看到,PEB...
通过PEB结构遍历进程模块
weixin_33800463的博客
12-15 268
_UNICODE_STRING 结构体: 1 typedef struct _UNICODE_STRING 2 { 3 USHORT Length; 4 USHORT MaximumLength; 5 PWSTR Buffer; 6 7 } UNICODE_STRING ,*PUNICODE_STRING; _PEB_LDR_DAT...
枚举Windows进程模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1431
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
通过PEB遍历进程模块(x64/wow4)
HXD1C6001的博客
11-14 495
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位... 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
一个用来隐藏进程、通过修改PEB隐藏进程模块、通过修改VAD树隐藏进程模块的示例驱动,注释良好,适合初学者。
PEB隐藏模块
09-03
PEB隐藏模块PEB
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程模块遍历。 特别说明:由于对于WINDOWS系统权限掌握...
大学物理册答案上下都有
04-26
大学物理册答案上下都有
UWB超宽带信道研究及源码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Suno AI语音技术的资源描述
04-26
Suno AI 是一家领先的人工智能(AI)公司,专注于开发创新的语音技术和解决方案。以下是关于 Suno AI 的资源描述: 语音识别技术:Suno AI 拥有先进的语音识别技术,能够准确地将语音转换为文本。他们的语音识别系统经过了大量的训练和优化,具有高度的准确性和鲁棒性,可应用于多种场景,如语音助手、语音搜索、智能客服等。 语音合成技术:除了语音识别,Suno AI 还致力于开发自然、流畅的语音合成技术。他们的语音合成系统能够生成高质量、逼真的语音输出,可以用于语音助手、自动化客服、有声书等领域。 智能语音应用开发:Suno AI 提供了一系列工具和平台,帮助开发者快速构建和部署智能语音应用。他们的开发工具包括 API 接口、SDK、开发文档等,支持多种编程语言和平台,让开发者可以轻松地集成语音功能到自己的应用中。 行业解决方案:Suno AI 为各行各业提供定制化的语音解决方案,满足客户特定的需求和业务场景。他们与零售、金融、医疗等领域的企业合作,提供智能语音客服、语音导航、语音支付等解决方案,帮助客户提升服务质量和效率。
基于matlab的射线信道模型内含数据集.zip
最新发布
04-26
基于matlab的射线信道模型内含数据集.zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值