利用peb枚举当前进程加载模块

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量675 收藏
点赞数
文章标签: buffer include null output path c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreezingPT/article/details/2087037
版权

其实就是根据http://blog.csdn.net/iiprogram/archive/2006/03/22/632573.aspx上的c代码写的

希望作者不会鄙视我

include /masm32/include/windows.inc

include /masm32/include/kernel32.inc
include /masm32/include/user32.inc
includelib /masm32/lib/kernel32.lib
includelib /masm32/lib/user32.lib

.data
stdOut dd ?
format db "%ls",0
rt dw 0d0ah
.data?
buffer db MAX_PATH dup(?)
.code
start:
invoke GetStdHandle,STD_OUTPUT_HANDLE
mov stdOut,eax
assume fs:nothing
mov   eax,fs:[18h]
mov   eax,dword ptr [eax+30h]
mov   eax,dword ptr [eax+0ch]
mov   eax,dword ptr [eax+0ch]
.repeat
mov  ebx,eax
mov   eax,dword ptr [eax+28h]
invoke wsprintf,addr buffer,addr format,eax
invoke lstrlen,addr buffer
invoke WriteFile,stdOut,addr buffer,eax,0,NULL
invoke WriteFile,stdOut,addr rt,2,0,NULL
mov  eax,dword ptr [ebx]
mov  ecx,dword ptr [eax+18h]
.until (ecx==NULL)
invoke ExitProcess,NULL
end start

可惜流年
关注
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5140
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1299
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已. 所以Wow64进程 里面。' 既有 64位环境结构,又有32位环境结构, 使用api  NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,。' 使用api  NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据. 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程
通过PEB枚举进程模块_x86_x64
r250414958的博客
08-01 752
抄的,原文很详细的说明了原理 作者:沉疴 出处:https://www.cnblogs.com/lsh123/p/8295774.html .h #pragma once #include <windows.h> #include <winternl.h> #include <ntstatus.h> #include <TlHelp32.h> #include <Psapi.h> #include <vector> using name
PEB结构----枚举用户模块列表
木休的斋堂
03-14 641
本文在主主要以上述两篇文章为基础,对PEB的结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。 本文主要分为四个部分,第一部分说明PEB地址如何获得;第二部分说明PEB的框架结构;第三部对PEB中的List-Entry结构进行了详细剖析,第四部分给出了枚举用户模块列表的代码。 ---------------------------
通过PEB枚举进程中所有模块
03-29 222
背景知识网上可搜到 这儿有个视频讲得比较详细:http://www.52pojie.cn/thread-178258-1-1.html 废话不说,上代码 首先是一些结构体的定义: 1 typedef LONG KPRIORITY; 2 typedef void** PPVOID; 3 4 typedef struct _LDR_DATA_TABLE_E...
PEB结构----枚举用户模块列表(图)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 2102
本文在主主要以上述两篇文章为基础,对PEB的结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。   本文主要分为四个部分,第一部分说明PEB地址如何获得;第二部分说明PEB的框架结构;第三部对PEB中的List-Entry结构进行了详细剖析,第四部分给出了枚举用户模块列表的代码。   -----------------------
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
首先,PEB(Process Environment Block)是每个Windows进程的核心结构,它存储了关于进程的重要信息,如进程是否为调试状态、进程的可执行文件路径、加载模块列表等。黑客可以利用PEB来隐藏进程模块,使其不被系统...
枚举所有进程所有模块,删除制定进程
zcc1414的专栏
03-31 1657
环境:   VS2008中配置WDK7600驱动开发环境 包含文件   #include   #include  需要在 #include 之前  那么就不会出错 程序大体流程: PsGetCurrentProcess() 得到本进程EPROCESS  通过EPROCESS +0x174 得到进程名 通过EPROCESS +0x84  得到进程ID      Ps
获取其他进程加载模块的详细信息
darthas的专栏
10-10 3121
用CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息,得到MODULEENTRY32 结构,但是MODULEENTRY32 比较简单,只有基地址和大小等信息,EntryPoint、LoadCount等信息都没有,这些信息在另一个结构LDR_DATA_TABLE_ENTRY中,wrk中多次引用了这个结构,并且用这种方法调试时也能手动遍历模块列表。
枚举PEB获取进程模块列表
08-11 221
枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先,惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出,各位看官根据情况自行添加。 [cpp] view plain copy print? typedefP...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1691
我们常常通过很多方法来获取进程模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
枚举Windows进程模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1753
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
通过PEB的Ldr枚举进程内所有已加载模块
cqyczj的专栏
04-25 1325
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY   二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleLi
VC32位程序通过NtWow64ReadVirtualMemory64 PEB枚举32-64位程序进程模块及基址
wh445306
08-07 3585
//#include "pch.h" #include <stdio.h> #include "windows.h" #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)( IN HANDLE ProcessHandle, IN ULONG ProcessInf...
通过TEB/PEB枚举当前进程空间中用户模块列表
03-22 1652
作者:scz 主页:http://www.nsfocus.net日期:2003-09-03这只是我一篇巨长无比的笔记中的一小节,因此只列了本节所引参考资源,可我还是很乐意向大家推荐[8]、[10]。如果对你有用,是否也可以给我订份小礼物,呵,小玩笑啦。☆ 通过TEB/PEB枚举当前进程空间中用户模块列表实在没精力找出最早介绍该项技术的文章,尽管很想知道答案。29A杂志中大量使用该技术([8]),并
通过读写PEB.Ldr实现模块枚举模块隐藏(脱链)
DontBeProud
09-10 2882
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEBPEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEBPEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
PEB隐藏模块技术解析
"PEB隐藏模块技术用于在进程中隐藏动态链接库(DLL)的加载信息,主要涉及Windows系统内部结构和PEB(Process Environment Block)以及LDR_DATA_TABLE_ENTRY数据结构。" PEB(Process Environment Block)是Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值