进程模块枚举与隐藏

最新推荐文章于 2021-11-18 20:16:33 发布
最新推荐文章于 2021-11-18 20:16:33 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: binary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugmeout/article/details/45649411
版权

这附图是我见过关于利用PEB查看模块信息最准确的一幅。
这里写图片描述

获取TEB

lkd> !teb
TEB at 7ffdd000
    ExceptionList:        00c2976c
    StackBase:            00c30000
    StackLimit:           00c23000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7ffdd000
    EnvironmentPointer:   00000000
    ClientId:             00000238 . 000003b8
    RpcHandle:            00000000
    Tls Storage:          00000000
    PEB Address:          7ffdf000      ***
    LastErrorValue:       0
    LastStatusValue:      c0000139
    Count Owned Locks:    0
    HardErrorMode:        0

查看PEB

lkd> dt _peb 7ffdf000
nt!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0 ''
   +0x003 SpareBool        : 0 ''
   +0x004 Mutant           : 0xffffffff Void
   +0x008 ImageBaseAddress : 0x01000000 Void
   +0x00c Ldr              : 0x00191e90 _PEB_LDR_DATA      ***
   +0x010 ProcessParameters : 0x00020000 _RTL_USER_PROCESS_PARAMETERS
   +0x014 SubSystemData    : (null) 
   +0x018 ProcessHeap      : 0x00090000 Void
   +0x01c FastPebLock      : 0x7c99d600 _RTL_CRITICAL_SECTION
最低0.47元/天 解锁文章
BugMeOut
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用ZwQueryVirtualMemory枚举进程模块支持x64
zhuhuibeishadiao
05-02 7910
#include "stdio.h" #include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO
linux 枚举进程,ZwQueryVirtualMemory枚举进程模块
weixin_39911066的博客
04-29 462
ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏模块(类似IceSword)。代码VS2015测试通过好的下面我们进入正题 这个没有深入研究 就是简单测试读了下代码 很久了 忘记差不多了 所以只是整理献上一个比较好的其他博友的1常见的枚举进程模块的方法有CreateToolhelp32Snaphot,Module32First,Module32Ne...
枚举隐藏内核模块
liuhaidon1992的博客
01-08 1018
在 WIN64 上枚举内核模块有两种方法:使用 ZwQuerySystemInformation 的第 11 号功能(SystemModuleInformation)和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表; 隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5019
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
纵谈进程枚举
呦呦鹿鸣
03-28 3936
关于进程枚举的4种方法... 在网上搜到的10几年前的文章,转过来保存~
ZwQueryVirtualMemory枚举进程模块
推理小孩的博客
02-20 695
ZwQueryVirtualMemory枚举进程模块   ZwQueryVirtualMemory算是枚举进程方法中的黑科技吧,主要是该方法可以检测出隐藏模块(类似IceSword)。   代码VS2015测试通过   再次奉上源码链接:https://github.com/Arsense/WindowsCode/tree/master/ZwQu...
通过读写PEB.Ldr实现模块枚举模块隐藏(脱链)
DontBeProud
09-10 2815
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEB,PEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEB、PEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
构建/dev/kmem枚举所有Linux内核模块(包括隐藏的)
热门推荐
Netfilter
05-16 1万+
Linux系统不是可以有lsmod枚举所有内核模块吗?procfs不香吗?干嘛还要费事从/dev/kmem里去枚举? 其实,Linux是后来的事了,在最初的UNIX时代,像ps之类的枚举进程的,都是从/dev/kmem里扫描出来的,这就是 一切皆文件 ,后来的Linux内核很不恰当地拓展了procfs,将乱八七糟的东西都往里面塞,像modules,filesystems,vmallocinfo之类,这些明明不是进程,全部扔进去了,这并不合适,但就是因为这是Linux内核,所以什么都是对的! 当然,Linux
Win64 驱动内核编程-25.X64枚举隐藏内核模块
墨鱼菜鸡
12-18 229
X64枚举隐藏内核模块 在WIN64上枚举内核模块的人方法:使用ZwQuerySystemInformation的第11号功能和枚举KLDR_DATA_TABLE_ENTRY中的InLoadOrderLinks双向链表;隐藏内核模块的通用方法是把指定的驱动对象从KLDR_D...
易语言隐藏所有进程模块
07-22
在本主题中,“易语言隐藏所有进程模块”指的是通过易语言编写的一个程序,该程序能够实现对操作系统中所有进程模块隐藏,这涉及到Windows系统底层的进程管理和内存操作。 首先,我们来理解“进程模块”。在...
易语言进程隐藏模块
08-16
易语言进程隐藏模块源码 系统结构:GetModuleListAddress,枚举模块,GetDword,GetWord,GetByte,SetDword,隐藏进程,GetEProcess,十六文本至长整数,ReadMemory,WriteMemory,ZwQueryInformationProcess,OpenProcess,...
易语言隐藏所有进程模块源码
06-02
8. **安全与合法性**:隐藏进程模块的功能可能会被滥用,用于恶意目的,如隐藏病毒或木马。因此,开发者需要明确使用此功能的合法性和道德性,避免触犯法律。 9. **在线学习资源**:提到"易语言在线学习",表明有...
隐藏及显示所有进程模块
08-21
隐藏及显示所有进程模块系统结构:提升进程权限,GetCurrentProcess,打开令牌,恢复权限,获取令牌特权,枚举所有进程,隐藏进程,ID取进程,进程取ID,创建进程快照,第一个进程指针,下一个进程
为windbg安装mona.py
Catch me if you can
04-22 6094
为windbg 安装mona 主要是提供下载链接,方便将来重新安装虚拟机。
TLS (Thread Local Storage)反调试原理
Catch me if you can
05-09 2699
TLS是在线程创建后执行前,销毁后退出前自动执行的一种技术,常用于反调试技术。TLS主要有一个回调函数地址表,在PE文件中存在。一个程序放到调试器中,还没有加载到OEP时,就已经执行TLS了(因为程序的主线程在OEP前创建,而创建时会自动调用TLS,准确的说是创建后自动调用其回调函数TLS)。这时候往TLS中置入反调试检测,就达到了效果。
HOOK钩子技术4 SSDT HOOK
Catch me if you can
05-13 2494
API 调用过程以一个demo测试为例,本测试查看OpenProcess 在R3-R0 下的调用。// test.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <windows.h> #include <stdio.h> int main(int argc, char
HOOK钩子技术5 SSDT Inline Hook
Catch me if you can
05-14 2380
r3下的inline Hook 在r0下的实现。 过ssdt保护检测。
msf生成payload过滤
Catch me if you can
04-25 2124
坏字符过滤 使用msf generate模块来过滤
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值