PEB结构的获取

最新推荐文章于 2022-09-11 14:08:00 发布
最新推荐文章于 2022-09-11 14:08:00 发布
阅读量3.5k 收藏 3
点赞数
分类专栏: C++ 逆向 文章标签: c++ 结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicehunt/article/details/38581447
版权
本文介绍了如何在32位和64位系统中获取PEB(Process Environment Block)结构,包括通过CreateProcess创建新进程获取PEB地址,以及在X64系统下利用GS寄存器找到PEB和TEB(Thread Environment Block)。通过枚举PEB的InInitializationOrderModuleList,可以得到Kernel32的基址。同时,文章提到了X64环境下内联汇编的限制和C语言实现搜索过程。
摘要由CSDN通过智能技术生成

32位获取KERNEL32地址汇编代码PEB结构----枚举用户模块列表。

PEB地址的取得:

1:通过CreateProcess()创建新的被挂起的进程,此时其初始化线程上下文中,ebx 指向其PEB结构, EAX指向其EIP(代码执行地址)

demo:

CreateProcess(NULL, TARGETPROC,
                 NULL, NULL, 0, CREATE_SUSPENDED, NULL, NULL, &si, pi))    
  {
    ctx->ContextFlags=CONTEXT_FULL;
    GetThreadContext(pi->hThread, ctx); //获得线程的所有重要的寄存器CTX
最低0.47元/天 解锁文章
易语言获取“TEB/PEB结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
四种方法获取Teb和Peb
最新发布
QXinHan的博客
12-05 2010
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1311
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
windows程序员进阶系列:《软件调试》之Win32堆
weixin_33901641的博客
05-04 209
  win32堆及内部结构   Windows在创建一个新的进程时会为该进程创建第一个堆,被称为进程的默认堆。默认堆的句柄会被保存在进程环境块_PEB的ProcessHeap字段中。 要获得_PEB的地址,可以通过$peb伪寄存器来获得,dt _PEB @$peb。也可以通过.process获得。                        如上图ProcessHeap字段即为进程...
get PEB or TEB
Debug Hacker
03-03 760
#include "stdafx.h" int _tmain(int argc, _TCHAR* argv[]) { unsigned int teb; unsigned int peb; __asm { mov eax,FS:[0x18] mov teb,eax mov eax,dword ptr[eax+0x30] mov peb,eax } printf("P
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6294
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取peb的地址。大家不妨试试,直接将
Windows x64平台 获取PEB表,并获取kernel32.dll的基址,并获取它的函数
MusicMan
05-31 5273
参考了:https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一位博主 话不多说,进入正题: 首先是获取PEB基址,先得懂怎么在64位平台嵌入汇编代码:参考这位博主https://blog.csdn.net/Giser_D/article/details/90670974 汇编代码: .CODE GetPeb PRO...
PEBGetAddress
08-25
总的来说,PEBGetAddress是一个汇编语言编写的程序,用于演示如何通过PEB结构获取系统关键模块的基址。它涉及的知识点包括PEB结构的理解、汇编语言的内存访问、段寄存器的使用以及遍历和解析数据结构的技巧。对于...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
使用API NtWow64QueryInformationProcess64 获取进程的64位PEB结构地址。使用API NtWow64ReadVirtualMemory64 读取进程的64位内存地址的数据。通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 ...
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
首先,我们需要了解PEB结构PEB由系统内核维护,包含了诸如进程是否为32位或64位、进程的模块列表、进程环境变量等关键信息。其中,ImagePath和ProcessName字段分别表示进程的可执行文件路径和进程名。修改这些字段...
手工获取模块相关信息1
08-03
在Windows操作系统中,获取模块相关信息是一项重要的任务,它涉及到对进程内部结构的理解,特别是线程环境块(TEB)、进程环境块(PEB)以及它们所关联的数据结构。本篇文章将详细阐述如何手工获取模块的相关信息,...
LyScript 通过PEB结构解析堆基址
CSDN
09-11 7210
LyScript中默认并没有提供获取进程堆基址的函数,不过却提供了获取PEB/TEB的函数,以PEB获取为例,可以调用。如上kernel模块基地址的获取已经实现了,那么堆基址的获取也就非常简单了,我们只需要找到。函数得到,当得到了PEB进程环境块的基地址,那么获取堆基址就变得很简单了。模块基地址为例,如果使用汇编获取则代码是这样的,根据这段代码我们举一反三。得到地址的代码就变得很简单了,只需要多次读取指针变量即可得到。读取内存指针即可得到堆地址,将堆地址获取封装成。的位置,将其读取出来即可。
x64进程如何获得wow64进程的PEB
lif12345的专栏
07-23 6358
介绍了如何获得wow64进程的PEB
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2348
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
夺取应用程序 “制空权“:内存数据
深耕安全技术研究
03-15 1481
文章目录1.技术背景2.效果展示3.代码实现4. 知识清单PE结构概述PEB结构概述调用系统未导出函数方法5. 关键函数及结构解析1.ReadProcessMemory函数2. _LIST_ENTRY结构3. _PEB_LDR_DATAS结构4. _LDR_MODULE 结构 1.技术背景 在病毒查杀,应用安全对抗,静态逆向应用,动态逆向应用,最重要的对象就是,应用程序的内存数据。 病毒查杀对抗:需要获取查杀对象的内存数据进行和病毒库的特征做比对。 应用安全对抗:需要保护自身的内存数据不被转存。 静态逆向
进程peb结构、获得peb的方法
aijuzhou1959的博客
02-13 479
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb结构申明: typedef struct _UNICODE_STR { U...
通过PEB获取模块基址
SUNE__学无止境
05-29 4177
PEB结构typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptions; /*002*/ UCHAR BeingDebugged; /*003*/ UCHAR SpareBool; // Allocation size /*004*/ H
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1140
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
C++写壳之高级篇
qq_31507523的博客
05-10 1176
C++写壳之高级篇 之前在写了写壳基础篇,现在就来完成写壳高级篇。有了写壳基础后,才能在其基础上逐步实现高级功能,加壳的目的主要是防止别人破解,而想要别人很难破解,我认为要在花指令、混淆和指令虚拟化上大量的时间及脑力才能做到,这个比较费力不讨好。我在此就说说一些能快速入门的反调试技术。 主要工具: VS2017、x64dbg、LordPE、OD 实验平台:win10 64位 实现功能:反调试、Ha...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值