夺取应用程序 “制空权“:内存数据

已于 2022-06-20 16:29:05 修改
阅读量1.3k 收藏 3
点赞数 6
分类专栏: 安全 C++ 游戏安全 文章标签: 安全 c++
于 2021-03-15 22:29:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/114855048
版权
安全 同时被 3 个专栏收录
71 篇文章 4 订阅
订阅专栏
C++
28 篇文章 2 订阅
订阅专栏
游戏安全
19 篇文章 1 订阅
订阅专栏

文章目录

1.技术背景

在病毒查杀,应用安全对抗,静态逆向应用,动态逆向应用,最重要的对象就是,应用程序的内存数据。

病毒查杀对抗:需要获取查杀对象的内存数据进行和病毒库的特征做比对。

应用安全对抗:需要保护自身的内存数据不被转存。

静态逆向应用:遇到应用程序加密保护,那这用IDA就歇菜了,这时获取解密后内存数据就非常重要。

动态逆向应用:用ollydbg进行动态调试应用主要还是调试运行时释放的内存数据。

综上:应用程序的重重之中就是内存数据,我们就来用代码实现获取应用程序的 “制空权”。

2.效果展示

下面展示的是,读取并操作,正在运行的ClearData进程的内存数据。

图片第一部分是正确读取到的内存数据,并写入到新创建的文件里面,文件大小和进程的原始文件是一致的。

图片第二部分是工作窗口,展示的是读取操作的一些信息。

图片第三部分展示,正在运行的进程信息。

在这里插入图片描述

3.代码实现

功能:获取正在运行进程的Pid

实现原理:通过创建一个系统快照,进行遍历所有的进程名称。通过比对进程

名称,来获取进程的PID值。
在这里插入图片描述

功能:获取正在运行进程的指定模块的基地址数据

实现步骤:通过PEB获取进程所加载的模块。

1、获取正在运行指定进程的_PEB结构。

2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构。

3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构。

4、通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构,注意:这里的Flink指向的是_LDR_DATA_TABLE_ENTRY结构中的InMemoryOrderLinks成员,因此需要计算真正的_LDR_DATA_TABLE_ENTRY起始地址。

5、输出_LDR_DATA_TABLE_ENTRY的BaseDllName或FullDllName成员信息。

在这里插入图片描述
在这里插入图片描述

功能:获得到整个进程的内存数据

实现步骤:

1、打开要操作的指定进程,并获取进程的句柄。

2、通过读取PE文件结构方式,进行读取正在运行的内存数据: DosHeader->NtHeader->区段表。

3、将读取到的内存数据,写入到文件。
在这里插入图片描述
在这里插入图片描述

4. 知识清单

PE结构概述

PE(Portable Execute)文件,它是Windows下可执行文件的总称,也是windows系统下标准的文件格式。

在window系统上常见的后缀为DLL,EXE,OCX,SYS等文件都是属于PE文件。但事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。

PE文件结构概括起来就是:它主要由 “头”(DOS头,NT头,可选头)和“节”(text节,data节)组成。

在代码中去实现,判断一个可执行文件,是否是PE文件结构。主要有两个判断:

1.DOS头的魔法值字段是否是 “MZ” ,也就是 0x5A4D 值。

2.NT头的签名字段信息是否是 “PE00” ,也就是 0x00004550 值。

下图是一个标准PE文件结构图

在这里插入图片描述

PEB结构概述

PEB结构(Process Envirorment Block Structure):进程环境信息块。

PEB:它主要是用于存放进程信息,每个进程都有属于自己的PEB信息。

PEB:它位于用户地址空间。

调用系统未导出函数方法

在这里插入图片描述

5. 关键函数及结构解析

1.ReadProcessMemory函数

在这里插入图片描述

2. _LIST_ENTRY结构

在这里插入图片描述

3. _PEB_LDR_DATAS结构

在这里插入图片描述

4. _LDR_MODULE 结构

在这里插入图片描述

小道安全
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
PEB断链
hongduilanjun的博客
03-18 2042
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEB,PEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1474
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
[内核编程]枚举进程空间内所有模块
輚至消亡
07-13 1136
环境: Win7 X64 该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。 首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。 进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, InMemoryModuleList以及InInitializationOrderModuleList的三条循环链表。 这三条循环链表中分别串着本EPROCESS对应的模块链表。其中 InLoadOrderModuleLi..
获取DLL的基地址
IDoubleTong的博客
02-24 2619
(1)首先通过段选择器FS在内存中找到当前的线程环境块TEB。 (2)线程环境块中找到进程环境块PEB的指针。 (3)进程环境块中找到指向PEB_LDR_DATA结构体的指针,其中存放着已经被进程装载的动态链接库的信息。 (4)PEB_LDR_DATA结构体中找到指向模块信息LIST_ENTRY链表的头指针。 (5)遍历_LIST_ENTRY链表,找到想要获取DLL的基地址。 1.TEB &nbs...
TEB和PEB学习记录(一)
QXinHan的博客
11-07 487
TEB和PEB的学习记录
如何控制设备驱动程序的加载顺序 抢先DriverStudio夺取机器控制权 制作磁盘引导程序.zip
01-27
"抢先DriverStudio夺取机器控制权.txt"可能详细阐述了如何利用这些工具在系统启动过程中抢占控制权,这在驱动调试、系统优化等领域具有实际应用价值。 制作磁盘引导程序是控制驱动加载顺序的一个关键环节。引导程序...
人才战略:知识资源的理性夺取
12-17
你还在苦苦寻找人才战略:知识资源的理性夺取吗?你还在为人才战略:知识资源的理性夺取而烦恼么?在这里...该文档为人才战略:知识资源的理性夺取,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看...
电力设备及新能源行业光伏产业研究系列报告(1):多晶硅行业走进新时代,国产硅企夺取竞争优势.pdf
07-13
电力设备及新能源行业光伏产业研究系列报告(1):多晶硅行业走进新时代,国产硅企夺取竞争优势.pdf
《暴力夺取》中塔沃特心理历程的拉康式解读
07-09
《暴力夺取》中的主人公塔沃特拒绝成为一名先知,在经历精神和身体暴力后最终回归耶稣接受自己的命运。从拉康的三界理论来看,塔沃特经历了三个层次的心理历程:在想象界中想成为一名舅老爷式的先知,之后理想自我遭到...
便携式电子设备机箱的设计及应用
01-14
应急通信指挥车与地面固定指挥中心配合使用,具备互联互通、信息处理量大、及时决策等特点,成为提高应急指挥决策效率、全面夺取防空袭斗争和抢险救灾胜利的有效手段。  一个完整的车载应急指挥通信系统由硬件、...
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
PEB-------------模块链表Ldr
weixin_30316097的博客
07-30 705
一、xp下peb结构 kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutan...
C++ 反反调试(PEB)
LYSM
09-10 858
PEB 反调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 _PEB 结构体中的位置,可以发现 01、70 这两个标志(注意这里 main函数还没开始运行,所以程序不会退出,只有当你第一次点击 “运行” 时才会执行到 main,检测代码才会有...
PEB结构的获取
SauceJ的专栏
08-15 3492
PEB结构----枚举用户模块列表。 PEB
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
32位/64位 获得进程peb的方法
HsinTsao的博客
03-05 3242
逐渐将博客园的文章搬到CSDN来吧。基于上一篇文章获取peb结构,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程Rea...
windbg学习23(!peb和PEB结构)
weixin_30487201的博客
01-10 506
调试器用户经常会需要查看在启动调试目标时使用了哪些命令行参数,这个信息是保存在PEB中的,可以通过!peb来获取,这个命令将解析PEB并给出完整的命令行,所有已加载DLL的位置,以及环境变量等. 0:000> !peb PEB at 7ffdf000 InheritedAddressSpace: No ReadImageFileExecOptions: N...
通过PEB遍历当前进程中的模块(C语言实现)
aigo10000的博客
05-14 596
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x01 相关数据结构: 下面的数据结构可以在windbg中使用命令查看(使用 dt ...
枚举Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1577
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
用c语言编写程序实现夺取宝藏算法
03-25
抢夺宝箱算法,也称拼手气算法或各取所需算法,是一种竞争策略。在该算法中,多个竞争者竞争获得一个宝箱。每个竞争者都有一个样本值,用于确定其获胜几率。 以下是使用C语言编写的抢夺宝箱算法的示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <time.h> #define MAX_VALUE 100 // 随机生成样本值 int get_sample() { return rand() % MAX_VALUE; } // 进行抢夺宝藏算法的单次竞争 int compete(int samples[], int count) { int max_index = -1; int max_value = -1; // 找到样本中的最大值 for (int i = 0; i < count; i++) { if (samples[i] > max_value) { max_index = i; max_value = samples[i]; } } // 返回最大值的索引 return max_index; } int main() { // 随机生成样本值 int samples[10]; srand(time(NULL)); for (int i = 0; i < 10; i++) { samples[i] = get_sample(); printf("%d ", samples[i]); } // 进行10次单次竞争 printf("\n-----------\n"); for (int i = 0; i < 10; i++) { int result = compete(samples, 10); printf("第%d次竞争,胜者是第%d个样本\n", i + 1, result + 1); } return 0; } ``` 在这个例子中,我们首先随机生成了一个长度为10的样本集合,每个样本值在0到99之间。然后进行了10次单次竞争,每次竞争都返回最大样本值的索引。我们可以看到,每次竞争的结果都不一样,因为每次随机生成的样本集合都不同。 注:AI模型不支持rand函数,在线模式下此代码无法运行,请在本地环境下运行此代码。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值