PEB一进程环境块

于 2023-12-20 14:28:04 发布
阅读量344 收藏 9
点赞数 10
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a7331077/article/details/135106764
版权

0x2,0x8,0xc,0x18,0x68
1.0x2
检测是否调试,0假,1真
FS:【30】十2中存放该标志
相关api:IsDebugPresent();
2.0x8
这个偏移里面存ImageBase(进程)
即:GetModuleHandle传入NULL返回的地址
3.0xc
里面存的_PEB_LDR_DATA结构体指针。其中该结构中有_LIST_ENTRY结构(是个双向链表,连接process中所有加载dll)。
进程通过该字段可查到加载到该进程中dll的信息
4.0x18,0x68
该字段在调试进程时可能会出现特定信息

沉寂的蓝天
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PEB_Test.rar
12-26
1. IsDebuggerPresent ...2. PEB进程环境) 3. 软件断点防止 4. CheckRemoteDebuggerPresent和NtQueryInformationProcess 5:参考于https://www.4hou.com/web/15211.html,介绍的调试和反调试方法
DBGHider:一个IDA插件旨在隐藏进程中的调试器
05-12
在函数dbg_process_start修补PEB(流程环境)和WoW PEB。 钩函数,例如dbg_library_load中的dbg_library_load 。 挂钩 DBGHider使用两种方法来挂接函数:条件断点和内联挂接。 条件断点 IDA Windows调试器支持...
Process Environment Block(PEB
寻梦&之璐
01-25 5176
简介 PEB(Process Environment Block,进程环境)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
PEB进程环境分析研究
zz_strive_2012的专栏
03-02 6559
# 2015-08-01 Peb(Process Environment Block)简单学习及分析 文章目录 1. PEB结构初探2. Peb应用程序代码 参考资料: Google peb site:pediy.com PEB结构——枚举用户模列表 修改已加载DLL的模名和路径 PEB结构初探 windows系统中通过各种结
通过IsDebuggerPesent解说windows PEB进程环境结构
weixin_30686845的博客
07-26 111
首先介绍PEB和TEB概念: PEB(Process Environment Block。进程环境)存放进程信息。每一个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block。线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间。在比 PEB 所在地址低的地方。进程中的每一个线程都有自己的一个TEB。 ...
<原创> 通过PEB获得进程路径 (附完整工程)
weixin_34379433的博客
03-09 286
完整工程:http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 PEB地址可以通过函数PsGe...
驱动开发:内核通过PEB得到进程参数
热门推荐
CSDN
10-10 1万+
其中文名是进程环境信息,进程环境内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程PEB结构。这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的。附加到应用层进程上,即可直接输出进程PEB结构信息,如下代码。进程环境快结构体,用于对内存指针解析,新建。
操作系统原理:第3章 进程.ppt
09-17
而在Windows中,PCB被称为内核进程对象(KPROCESS),此外还有一个执行体进程(EPROCESS),包含了如PID、访问令牌、基础优先级、句柄表、PEB进程环境)指针等信息。PEB位于用户空间,包含了关于进程环境...
基于EPROCESS结构中双向链表的进程检测方法
02-21
1. **Peb**:进程环境(Process Environment Block)指针,包含了进程的可执行文件信息、全局变量、线程信息等。 2. **Token**:进程令牌(Token),包含了进程的安全信息,如用户权限、组成员等。 3. ** PebLock ...
如何获取系统进程的命令行VC源代码
03-15
在Windows NT/2000系统中获取系统进程的命令行(如果有的话),它适用于几乎...这个结构成员指向PEB(在目标进程的地址空间中)结构,也就是进程环境(Process Environment Block)结构。 关键字:process,进程
Windows Shellcode开发[2]
weixin_41487541的博客
03-24 4465
0 前言 在这部分我们将了解正确编写Windows系统shellcode所需的信息:进程环境和PE文件格式。上一部分在这里:Windows Shellcode开发[1] 1 进程环境 在Windows操作系统中,PEB作为一种结构可以用于内存中固定地址的每个进程。此结构包含进程相关信息,如:可执行文件加载到内存中的地址、模列表(DLL)、指定进程是否在调试等。在不同版本的Windows系统中,PEB各字段偏移可能会随之改变。 由于地址空间布局随机化(ASLR),DLL将被加载到不同的内存地址,
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 1990
PEB(Process Environment Block)——进程环境,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
通过IsDebuggerPesent讲解windows PEB进程环境结构
赫的BLOG
06-05 2661
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 写一个使用Is
PEB,TEB初学.
fun0526的专栏
08-21 6646
<br /><br />TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$t
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 366
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
枚举Windows进程中模的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1553
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模(DLL),以及所加载的模的信息(如模基地址,映射文件大小等)。获取这windows进程加载的模信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
反调试/反汇编技术、TEB/PEB部分说明
qq_18811919的博客
02-05 1453
反调试技术 WindowsAPI ISDebuggerPresent 查询PEB进程环境中的ISDebugged标志 CheckRemoteDebuggerPresent 类似于IsDebuggerPresent函数,但是也可以检查其他进程 NtQueryInfomationProcess 提取一个给定进程的信息,第一个参数是进程句柄,第二个参数告诉我们它需要提取的进程信息类型,参数设置为ProcessDebugPort将会告诉你这个句柄标识的进程是否被调试 手动检查数据结构 (1)检查BeingDebu
通过PEB遍历进程(x64/wow4)
最新发布
05-12
PEB(Process Environment Block)是Windows操作系统中的一个重要结构体,它包含了当前进程环境信息。通过PEB,我们可以获取当前进程的模信息,包括模的基地址、模的名称等。 在x64和wow64下,PEB结构体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值