WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)

最新推荐文章于 2023-11-21 20:00:42 发布
最新推荐文章于 2023-11-21 20:00:42 发布
阅读量5.7k 收藏
点赞数
文章标签: c thread module windows dll x86
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WinGeek/article/details/3962818
版权

首先介绍PEB和TEB概念:

 

PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。

 

TEBThread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB

调试的程序的时候,了解PEB和TEB往往对分析很有帮助。 WinDBG中 !peb!teb 命令可以用来显示PEB和TEB:

0:000> !peb
PEB at 7ffd6000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         01000000
    Ldr                       001a1ea0
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 001a1f58 . 001a2850
    Ldr.InLoadOrderModuleList:           001a1ee0 . 001a2840
    Ldr.InMemoryOrderModuleList:         001a1ee8 . 001a2848
            Base TimeStamp                     Module
         1000000 3b7d8475 Aug 17 13:54:13 2001 C:/WINDOWS/system32/winmine.exe
        7c900000 4802a12c Apr 13 17:11:24 2008 C:/WINDOWS/system32/ntdll.dll
        7c800000 4802a12c Apr 13 17:11:24 2008 C:/WINDOWS/system32/kernel32.dll
        77c10000 4802a188 Apr 13 17:12:56 2008 C:/WINDOWS/system32/msvcrt.dll
        77dd0000 4802a0b2 Apr 13 17:09:22 2008 C:/WINDOWS/system32/ADVAPI32.dll
        77e70000 4802a106 Apr 13 17:10:46 2008 C:/WINDOWS/system32/RPCRT4.dll
        77fe0000 4802a11b Apr 13 17:11:07 2008 C:/WINDOWS/system32/Secur32.dll
        77f10000 49006fbe Oct 23 05:36:14 2008 C:/WINDOWS/system32/GDI32.dll
        7e410000 4802a11b Apr 13 17:11:07 2008 C:/WINDOWS/system32/USER32.dll
        7c9c0000 48e1c4d9 Sep 29 23:19:05 2008 C:/WINDOWS/system32/SHELL32.dll
        77f60000 4802a116 Apr 13 17:11:02 2008 C:/WINDOWS/system32/SHLWAPI.dll
        76b40000 4802a13c Apr 13 17:11:40 2008 C:/WINDOWS/system32/WINMM.dll
        773d0000 4802a094 Apr 13 17:08:52 2008 C:/WINDOWS/WinSxS/x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83/COMCTL32.dll
    SubSystemData:     00000000
    ProcessHeap:       000a0000
    ProcessParameters: 00020000
    WindowTitle:  'C:/WINDOWS/system32/winmine.exe'
    ImageFile:    'C:/WINDOWS/system32/winmine.exe'
    CommandLine:  'winmine'
    DllPath:      'C:/WINDOWS/system32;C:/WINDOWS/system32;C:/WINDOWS/system;C:/WINDOWS;.;C:/Program Files/WinDbg/winext/arcade;C:/Tools/Perl/site/bin;C:/Tools/Perl/bin;C:/WINDOWS/system32;C:/WINDOWS;C:/WINDOWS/System32/Wbem;C:/PROGRA~1/CA/SHARED~1/SCANEN~1;C:/Program Files/CA/eTrust Antivirus;C:/Program Files/Java/jdk1.5.0_14/bin;C:/Program Files/Apache-ant/bin;C:/Program Files/WinDbg;C:/Tools;C:/Program Files/TortoiseSVN/bin'
    Environment:  00010000
        =::=::/
        ALLUSERSPROFILE=C:/Documents and Settings/All Users
        ANT_HOME=C:/Program Files/Apache-ant
        APPDATA=C:/Documents and Settings/WinGeek/Application Data
        AVENGINE=C:/PROGRA~1/CA/SHARED~1/SCANEN~1
        CommonProgramFiles=C:/Program Files/Common Files
        COMPUTERNAME=QI
        ComSpec=C:/WINDOWS/system32/cmd.exe
        FP_NO_HOST_CHECK=NO
        HOMEDRIVE=C:
        HOMEPATH=/Documents and Settings/WinGeek
        INOCULAN=C:/Program Files/CA/eTrust Antivirus
        JAVA_HOME=C:/Program Files/Java/jdk1.5.0_14
        LOGONSERVER=//QI
        NUMBER_OF_PROCESSORS=2
        OS=Windows_NT
        Path=C:/Program Files/WinDbg/winext/arcade;C:/Tools/Perl/site/bin;C:/Tools/Perl/bin;C:/WINDOWS/system32;C:/WINDOWS;C:/WINDOWS/System32/Wbem;C:/PROGRA~1/CA/SHARED~1/SCANEN~1;C:/Program Files/CA/eTrust Antivirus;C:/Program Files/Java/jdk1.5.0_14/bin;C:/Program Files/Apache-ant/bin;C:/Program Files/WinDbg;C:/Tools;C:/Program Files/TortoiseSVN/bin
        PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
        PROCESSOR_ARCHITECTURE=x86
        PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 2, GenuineIntel
        PROCESSOR_LEVEL=6
        PROCESSOR_REVISION=0f02
        ProgramFiles=C:/Program Files
        SESSIONNAME=Console
        SystemDrive=C:
        SystemRoot=C:/WINDOWS
        TEMP=C:/DOCUME~1/WinGeek/LOCALS~1/Temp
        TMP=C:/DOCUME~1/WinGeek/LOCALS~1/Temp
        USERDOMAIN=QI
        USERNAME=WinGeek
        USERPROFILE=C:/Documents and Settings/WinGeek
        VS80COMNTOOLS=C:/Program Files/Microsoft Visual Studio 8/Common7/Tools/
        VS90COMNTOOLS=C:/Program Files/Microsoft Visual Studio 9.0/Common7/Tools/
        WINDBG_DIR=C:/Program Files/WinDbg
        windir=C:/WINDOWS

从以上!PEB输出结果,我们可以了解到进程的ImageBaseAddress,进程的堆(Heap)起始地址, 装载了那些DLL,命令行参数,系统的环境变量等等 。。。

0:000> !teb
TEB at 7ffdf000
    ExceptionList:        0007fd0c
    StackBase:            00080000
    StackLimit:           0007c000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7ffdf000
    EnvironmentPointer:   00000000
    ClientId:             000014a8 . 000014ac
    RpcHandle:            00000000
    Tls Storage:          00000000
    PEB Address:          7ffd6000
    LastErrorValue:       0
    LastStatusValue:      0
    Count Owned Locks:    0
    HardErrorMode:        0

从以上!TEB输出结果,我们可以了解到栈(stack)的起始地址,Tls Storage 的地址, 异常处理的地址,LastError的值等等。。。

西塞安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg常用命令
lygl35的博客
12-23 1019
1、!process 0 0 (查看所有进程) 2、dt _EPROCESS 8710da00 (查看当前进程的结构体) 2、dt _HANDLE_TABLE 0x8d7fc818 (查看内核对象句柄表) 3、dd 0x98609000 (当前进程句柄表,一个句柄对象是8个字节)内核对象句柄/4=内核句柄地址在句柄表的索引 ...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1570
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
5.4 Windows驱动开发:内核通过PEB进程参数
CSDN
11-21 6921
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取。
PEB进程环境块分析研究
zz_strive_2012的专栏
03-02 6598
# 2015-08-01 Peb(Process Environment Block)简单学习及分析 文章目录 1. PEB结构初探2. Peb应用程序代码 参考资料: Google peb site:pediy.com PEB结构——枚举用户模块列表 修改已加载DLL的模块名和路径 PEB结构初探 windows系统中通过各种结
windbg 常用调试命令总结
就是那个党伟
10-16 2787
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
windbg命令高亮显示插件
12-07
这款"Windbg命令高亮显示插件"是为了提升用户在使用Windbg时的体验,通过高亮显示命令,使得调试过程更加直观和高效。下面我们将深入探讨这款插件的功能、使用方法以及与Windbg的结合。 首先,高亮显示是编程和调试...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 ... Windbg技巧-JavaScript Windbg Instrumentation coreland有用的链接 漏洞利用写作教程第11部分:雾化喷涂 DEPS –在Firefox和IE10上进行精确堆喷 WinDBG和JavaScript分析 备忘单 ...
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml[...]\windbg_js_scripts\config.xml has been loaded successfully.0:000> .settings saveSettings ...
IO_Card_Dev.zip_http://dev-io
09-23
6. **调试技术**:DDK提供了多种调试工具,如WinDbg,用于在内核模式下调试驱动,帮助开发者找出并修复错误。 7. **兼容性和稳定性**:优秀的驱动不仅要实现功能,还需要考虑与其他硬件和软件的兼容性,以及在各种...
WinDbg Uncovered:WinDbg中的高级调试技术-开源
05-15
通过学习《WinDbg Uncovered》,开发者和系统管理员不仅可以提升在Windows环境下的调试技能,还能深入理解系统的运行机制,有效应对各种复杂的软件故障。开源性质使得更多的人能够参与分享和改进,共同推动调试技术...
PEB结构块解析
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1434
TEB线程环境块(Thread Environment Block),PEB进程环境块(Process Environment Block)。
使用windbg查看PE结构
TMS_LI的专栏
07-15 4789
使用windbg查看PE结构 实验环境: WIN7 32bit  编译器: Microsoft (R) Macro Assembler Version 6.14.8444 Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.01 for 80x86 查看模块PE结构大体情况: 查看模块P
windbg学习23(!pebPEB结构)
weixin_30487201的博客
01-10 511
调试器用户经常会需要查看在启动调试目标时使用了哪些命令行参数,这个信息是保存在PEB中的,可以通过!peb来获取,这个命令将解析PEB并给出完整的命令行,所有已加载DLL的位置,以及环境变量等. 0:000> !peb PEB at 7ffdf000 InheritedAddressSpace: No ReadImageFileExecOptions: N...
windbg调试命令6(!peb、!teb)
v5browser
04-12 252
PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEBThread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序的时候,了解PEBTEB往往对分析很有...
windbg获取TEB线程环境块)信息
qq_35426012的博客
10-23 2175
windbg下载安装配置符号路径 如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10 sdk中下载 链接:https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive 下载后会有x86和64位两个版本,两个版本都要配置符号路径,否则只能使用...
WinDbg命令详解--线程
热门推荐
Arbboter的专栏
03-17 1万+
线程命令是以~开始,后面跟线程id(一个windbg从0开始的一个编号),或者.,#,*等,可和其他命令混合使用。 ~ 简洁地显示当前进程的所有线程, ~. 表示当前线程 ~# 表示异常或者产生调试事件的线程 ~* 表示所有线程 ~1 表示一号线程 ~2 s 表示选择2号线程作为当前线程 ~3 f 冻结三号线程 ~3 u 解冻三号线程 ~2 n
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值