枚举进程(2)——利用EPROCESS/PEB地址特征进行内存搜索

最新推荐文章于 2019-08-27 22:18:00 发布
最新推荐文章于 2019-08-27 22:18:00 发布
阅读量3.5k 收藏 5
点赞数
分类专栏: 写几个驱动练练手 文章标签: build object system header exception null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beijixing2003/article/details/2514810
版权
本文介绍了两种内存搜索特征:(1)EPROCESS结构位于0x80000000到"system"进程EPROCESS之间,PEB指针也在此范围内;(2)PEB地址符合0x7FFD0000的模式。通过这些特征,可以高效地定位进程内存。在XP2系统测试中,需注意winlogon进程EPROCESS可能超出预期范围,需要适当调整搜索上限。
摘要由CSDN通过智能技术生成

 两个搜索特征:
(1)观察所有进程的EProcess结构地址,可以发现都在0x80000000到"system"进程的EPROCESS之间。
这就表明所有EPROCESS结构中的peb指针域也应该在这个区间。这就可以大致确定搜索范围。不过在实际测试(xp2)中发现winlogon的EPROCESS大于system的EPROCESS,因此还需要修正搜索范围的最大值。如果对效率要求比较高,还可以把搜索范围最小值设置的大一点,例如0x81800000,在xp2下EPROCESS都大于这个值,其他平台也可以对应的改。
(2)所有的PEB地址都符合0x7FFD0000这个特征。

========================================================================

typedef ULONG	DWORD ;

#define EPROCESS_SIZE		1
#define PEB_OFFSET			2
#define FILE_NAME_OFFSET		3
#define PROCESS_LINK_OFFSET		4
#define PROCESS_ID_OFFSET		5
#define EXIT_TIME_OFFSET		6

#define OBJECT_HEADER_SIZE		0x018 // 对象头大小
#define OBJECT_TYPE_OFFSET		0x008 // 类型在对象头结构中的偏移	

typedef enum {
	VALID_PAGE = 0,
	INVALID_PTE,
	INVALID_PDE	
} PAGE_STATUS ;

typedef struct _PROCESS_INFO {
	DWORD	EProcess ;
	DWORD	dwProcessId ;
	DWORD	dwPeb ;
	PUCHAR	pImageFileName ;
} PROCESS_INFO, *PPROCESS_INFO ;


DWORD GetPlantformDependentInfo ( DWORD dwFlag )
{ 
	DWORD current_build; 
	DWORD ans = 0; 

	PsGetVersion(NULL, NULL, ¤t_build, NULL); 

	switch ( dwFlag )
	{ 
	case EPROCESS_SIZE: 
		if (current_build == 2195) ans = 0 ;		// 2000,当前不支持2000,下同
		if (current_build == 2600) ans = 0x25C;		// xp
		if (current_build == 3790) ans = 0x270;		// 200
最低0.47元/天 解锁文章
WIN7的EPROCESSPEB和WINXPSP3的EPROCESS
kfysck
11-06 5177
WIN7 EPROCESS 这个命令是查看_EProcess结构下面的所有结构体和联合体 dt -r1 _Eprocess lkd> dt nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x098 ProcessLock      : _EX_PUSH_LOCK    +0x0a0 CreateTime       :
基于内存搜索进程检测方法
Richard的专栏
08-23 2613
内存 检测 进程 servicetable
Linux编程 6 (查看进程 ps 及输出风格)
weixin_33910385的博客
09-08 140
一.查看进程命令ps   1.1默认ps 命令         在默认情况下,ps命令只会显示运行在当前控制台下,属于当前用户的进程,在上图中,我们只运行了bash shell以及ps命令本身。 上图中显示了程序的进程ID(1538,1583),它们运行在TTY终端, 以及进程已有的CPU(TIME)时间。   1.2ps 风格以及参数    在linux系统中使用的GNU ps命令支持...
C++ 进程内存搜索特征码极速定位,方便找Call找地址
04-29
C++ 进程内存搜索特征码极速定位,方便找Call 找地址!!
动态定位 PEB 在 EPROCESS 中的便移量
04-03 1078
bool GetPEBOffset(ULONG* PEBOffset) EJCKVT  { BSO6Z("a7       ULONG n,*Buffer,PID,Count=0,i=0; ${iMlcd/,       UCHAR* SearchBuffer; Je%)/U       PEPROCESS Pr = NULL; ,p:crJ9       bool bOK
安全搜索进程内存空间(一)
10-16 2073
 CMDHZ 本文发表在黑防2008的2期上,按照他们要求的间隔时间已经过了,所以贴上来。本文设计了用于演示的程序,一下子没有找到怎么发附件,所以需要的读者就向邮箱lisl03@gmail.com发 application mail吧。ShellCode的编写好像是一个永远说不完的话题。在11期《黑客防线》上我写了《再谈绕过卡巴斯基主动防御的ShellCode编写》的文章。
Windows内核驱动EPROCESS遍历进程模块
最新发布
12-14
2. **访问EPROCESS结构**:遍历过程中,对每个EPROCESS结构进行检查。结构中的` Peb `(Process Environment Block)字段包含了进程的更多信息,包括其加载的模块列表。 3. **遍历Peb结构**:Peb结构中有一个`Ldr`...
基于EPROCESS特征的物理内存查找方法 (2013年)
05-16
该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存。实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理...
暴力搜索内存 直接内存搜索枚举内存的原理和实现
07-25
为了枚举进程,我们需要遍历内存搜索 EPROCESS 结构体。首先,我们需要确定 EPROCESS 结构体在当前系统中的表示。可以使用 WinDbg 的 dt 命令来获取 EPROCESS 结构体的定义。例如,在 WinXP 环境中,EPROCESS ...
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,枚举进程,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,OpenProcess,...
暴力搜索内存:EPROCESS结构验证与实现详解
本文主要讨论的是如何通过直接内存搜索枚举来定位和验证进程的EPROCESS进程控制块)结构,特别是在Windows系统中,特别是5.x内核版本。 在Windows系统中,特别是32位标准内存模式(如WinXP)和PAE(Physical ...
在一个进程内存里查找特定值字符串等
04-01
在一个进程内存里查找特定值字符串等 procedure ShowArrayTValueAddress(); //显示当前任务查出的地址列表 procedure ShowMemEditAddressList(); //显示当前的修改列表 procedure OnWMHOOKPROC(var Msg: TMessage);message WM_HOOKPROC; //Hook Message 处理挂钩消息 procedure AddAMission(ProcessesID : Handle;MissionName:string); //增加任务
安全搜索进程内存空间(二)
10-16 1530
 2、异常信息当一个异常发生时,操作系统向异常处理的线程堆栈中压入3个结构,这三个结构是:EXCEPTION_RECORD,CONTEXT, EXCEPTION_POINTERS。1、 EXCEPTION_ RECORD结构EXCEPTION_ RECORD结构包含了有关最近发生异常的详细信息,这些信息独立于CPU。其结构如下:EXCEPTION_ RE
进程内存读取
weixin_30646315的博客
12-31 727
1. 切换目标进程的CR3通常,跨进程读写内存,用到ReadProcessMemory, WriteProcessMemory, 但需要进程句柄,如果目标进程受到保护,可能获得进程句柄会失败.ReadProcessMemory最后会调用到KeStackAttachProcess附加到目标进程上切换进程环境进行拷贝的, 所以想到拿到目标进程的虚拟内存内容,可以将目标进程的页目录基地址放入CR3中即可...
EPROCESS ETHREAD PEB重要成员
05-06 211
-----------------------------------------------------------------------win7 x86中---------------------------------------------------------------------------- kd> dt _PEBnt!_PEB +0x000 Inheri...
NT下进程枚举.rar
04-05
2. **进程结构体**:在Windows NT中,进程由多个数据结构表示,如`EPROCESS`和`PEB`(Process Environment Block)。`EPROCESS`包含了进程的各种状态和属性,而`PEB`是每个进程的全局信息存储区。 3. **权限与访问...
通过PEB寻找函数地址
weixin_30781107的博客
08-27 551
  通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。   摘自PEB LDR DATA: typedef struct _PEB_LDR_DATA { 0x00 ULONG Length; /* Size of structure, used...
遍历进程活动链表(ActiveProcessLinks)、DKOM隐藏进程
08-11 272
1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间,其他都是在系统空间中的。 2.查看EPROCESS结构 kd> dt_e...
EPROCESS遍历进程
For Geek
05-07 2029
Windows为每一个进程都安排了一个EPROCESS的结构用于维护每一个进程,当然EPROCESS是属于内核管理的,所以只有ring0层的程序才可以访问这个结构,下面我们来看一下EPROCESS的结构是怎样的。 kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值