关于进程PEB结构的修改实现

最新推荐文章于 2024-04-14 12:35:32 发布
最新推荐文章于 2024-04-14 12:35:32 发布
阅读量713 收藏
点赞数
文章标签: string parameters struct module list user

 


<script type="text/javaScript">function doZoom(size){ document.getElementById('zoom').style.fontSize=size+'px'}</script> 

出处:http://club.safechina.net/viewthread.php?tid=1630

作者:Gxter

关于进程PEB结构前辈们给出了几篇比较详细的文章。
例如:
《JIURL玩玩Win2k进程线程篇 PEB》
《陆麟 的 WIN2000 SP1的PEB结构》
其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。
代码如下:

代码

WIN2K SP4+VC6
//
//write by Gxter
//peb.h
//

//以下就是PEB的数据组织结构了
typedef void (*PPEBLOCKROUTINE)(PVOID PebLock);

typedef struct _UNICODE_STRING {
        USHORT Length;
        USHORT MaximumLength;
        PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _RTL_DRIVE_LETTER_CURDIR {
        USHORT Flags;
        USHORT Length;
        ULONG TimeStamp;
        UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;


typedef struct _PEB_LDR_DATA
{
        ULONG Length;
        BOOLEAN Initialized;
        PVOID SsHandle;
        LIST_ENTRY InLoadOrderModuleList;
        LIST_ENTRY InMemoryOrderModuleList;
        LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {
        LIST_ENTRY InLoadOrderModuleList;
        LIST_ENTRY InMemoryOrderModuleList;
        LIST_ENTRY InInitializationOrderModuleList;
        PVOID BaseAddress;
        PVOID EntryPoint;
        ULONG SizeOfImage;
        UNICODE_STRING FullDllName;
        UNICODE_STRING BaseDllName;
        ULONG Flags;
        SHORT LoadCount;
        SHORT TlsIndex;
        LIST_ENTRY HashTableEntry;
        ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
        ULONG MaximumLength;
        ULONG Length;
        ULONG Flags;
        ULONG DebugFlags;
        PVOID ConsoleHandle;
        ULONG ConsoleFlags;
        HANDLE StdInputHandle;
        HANDLE StdOutputHandle;
        HANDLE StdErrorHandle;
        UNICODE_STRING CurrentDirectoryPath;
        HANDLE CurrentDirectoryHandle;
        UNICODE_STRING DllPath;
        UNICODE_STRING ImagePathName;
        UNICODE_STRING CommandLine;
        PVOID Environment;
        ULONG StartingPositionLeft;
        ULONG StartingPositionTop;
        ULONG Width;
        ULONG Height;
        ULONG CharWidth;
        ULONG CharHeight;
        ULONG ConsoleTextAttributes;
        ULONG WindowFlags;
        ULONG ShowWindowFlags;
        UNICODE_STRING WindowTitle;
        UNICODE_STRING DesktopName;
        UNICODE_STRING ShellInfo;
        UNICODE_STRING RuntimeData;
        RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_FREE_BLOCK {
        struct _PEB_FREE_BLOCK *Next;
        ULONG Size;
} PEB_FREE_BLOCK, *PPEB_FREE_BLOCK;

typedef struct _PEB {
        BOOLEAN InheritedAddressSpace;
        BOOLEAN ReadImageFileExecOptions;
        BOOLEAN BeingDebugged;
        BOOLEAN Spare;
        HANDLE Mutant;
        PVOID ImageBaseAddress;
        PPEB_LDR_DATA LoaderData;                                                       
        PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
        PVOID SubSystemData;
        PVOID ProcessHeap;
        PVOID FastPebLock;
        PPEBLOCKROUTINE FastPebLockRoutine;
        PPEBLOCKROUTINE FastPebUnlockRoutine;
        ULONG EnvironmentUpdateCount;
        PVOID *KernelCallbackTable;
        PVOID EventLogSection;
        PVOID EventLog;
        PPEB_FREE_BLOCK FreeList;
        ULONG TlsExpansionCounter;
        PVOID TlsBitmap;
        ULONG TlsBitmapBits[0x2];
        PVOID ReadOnlySharedMemoryBase;
        PVOID ReadOnlySharedMemoryHeap;
        PVOID *ReadOnlyStaticServerData;
        PVOID AnsiCodePageData;
        PVOID OemCodePageData;
        PVOID UnicodeCaseTableData;
        ULONG NumberOfProcessors;
        ULONG NtGlobalFlag;
        BYTE Spare2[0x4];
        LARGE_INTEGER CriticalSectionTimeout;
        ULONG HeapSegmentReserve;
        ULONG HeapSegmentCommit;
        ULONG HeapDeCommitTotalFreeThreshold;
        ULONG HeapDeCommitFreeBlockThreshold;
        ULONG NumberOfHeaps;
        ULONG MaximumNumberOfHeaps;
        PVOID **ProcessHeaps;
        PVOID GdiSharedHandleTable;
        PVOID ProcessStarterHelper;
        PVOID GdiDCAttributeList;
        PVOID LoaderLock;
        ULONG OSMajorVersion;
        ULONG OSMinorVersion;
        ULONG OSBuildNumber;
        ULONG OSPlatformId;
        ULONG ImageSubSystem;
        ULONG ImageSubSystemMajorVersion;
        ULONG ImageSubSystemMinorVersion;
        ULONG GdiHandleBuffer[0x22];
        ULONG PostProcessInitRoutine;
        ULONG TlsExpansionBitmap;
        BYTE TlsExpansionBitmapBits[0x80];
        ULONG SessionId;
} PEB, *PPEB;

//------------------------------------------the--------------end------------

//
//write by Gxter
//peb.cpp
//

/*
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。
在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,
所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,
但由于 EPROCESS 在进程的核心内存区,所以程序不能直接访问。
还可以通过 TEB 结构的偏移 30H 处获得 PEB 的位置,代码如下:

mov eax,fs:[18]
mov eax,[eax+30]
*/

#include "stdio.h"
#include "windows.h"
#include "winsvc.h"
#include "peb.h"

#define LISPORT 65371
#define PATHLEN 32


int main()
{
        PPEB peb;
        PLDR_MODULE pMod;

        char systempAth[PATHLEN*2];
        char tempsystempAth[PATHLEN*2];
        int i;
               
        LPTSTR PAth;
        PAth=GetCommandLine();

        GetSystemDirectory(tempsystempAth,PATHLEN);
        strcat(tempsystempAth,"//svchost.exe");

        printf("%s/n",tempsystempAth);

        //把ASCII转换为UNICODE,字符
        for (i=0;i<PATHLEN;i++)
        {
                systempAth[i*2] = tempsystempAth[i];
                systempAth[i*2+1] = 0;
        }

        //printf("%S/n",systempAth);

        //这个地方主要是找到PEB结构的入口点:通过 TEB 结构的偏移 30H 处获得 PEB 的位置
        __asm
        {
                mov eax,fs:0x30
                mov peb,eax
        }
       
        pMod = (LDR_MODULE*)peb->LoaderData->InLoadOrderModuleList.Flink;

        printf("%d/n",pMod->FullDllName.MaximumLength);
        printf("%d/n",pMod->FullDllName.Length);
        printf("%S/n",pMod->FullDllName.Buffer);

        pMod->FullDllName.MaximumLength = 202;
        pMod->FullDllName.Length = 200;
        pMod->FullDllName.Buffer = (unsigned short*)systempAth;
         
       
        printf("%d/n",pMod->FullDllName.MaximumLength);
        printf("%d/n",pMod->FullDllName.Length);
        printf("%S/n",pMod->FullDllName.Buffer);
       
        getchar();
        return 0;
}

//----------------------------the---------end-------------

coffeemay
关注
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程PEB信息,参考: 测试效果
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 2771
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 2025
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 980
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
精选_修改指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
总结来说,"修改指定进程PEB中路径和命令行信息实现进程伪装"是一种高级的系统编程技巧,涉及到Windows系统底层的进程内存操作。虽然它在特定场景下有其应用价值,但应谨慎使用,以免触犯法律或引起不必要的安全问题...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
首先,PEB(Process Environment Block)是每个Windows进程的核心结构,它存储了关于进程的重要信息,如进程是否为调试状态、进程的可执行文件路径、加载的模块列表等。黑客可以利用PEB来隐藏进程模块,使其不被系统...
Windows内核驱动EPROCESS遍历进程模块
12-14
3. **遍历Peb结构**:Peb结构中有一个`Ldr`(Loader)数据结构,它包含了进程加载的所有模块信息。`Ldr`的`InMemoryOrderModuleList`和`InInitializationOrderModuleList`两个双向链表分别按内存地址和初始化顺序列...
NT下进程枚举.rar
04-05
2. **进程结构体**:在Windows NT中,进程由多个数据结构表示,如`EPROCESS`和`PEB`(Process Environment Block)。`EPROCESS`包含了进程的各种状态和属性,而`PEB`是每个进程的全局信息存储区。 3. **权限与访问...
NTDLL
Lassewang的成长历程
04-26 1178
/*++ Copyright (c) Module Name: SafeModel.h Abstract: This framework is generated by QuickSYS 0.4 Author: Environment: User or kernel mode. Revision History: --*/ #ifndef
擦除模块痕迹
土星·北海若
07-15 1603
对于擦除模块痕迹,我实验了两种方法,下面一一阐述:1.修改PEB结构,用代码说话typedef struct _PEB_LDR_DATA ...{  ULONG               Length;  BOOLEAN             Initialized;  BYTE    reserved[3];  PVOID               SsHandle;  LIS
Windows10下的TEB和PEB的分析
塔塔的日记
11-15 1509
TEB:线程环境块(Thread Environment Block),PEB进程环境块(Process Environment Block)。
C++向目标进程PEB模块链添加自己的DLL
Rprop
06-23 2563
有时候为了让内存注入的DLL现身, 就需要用到这个方法了 auto lppeb = reinterpret_cast(AppBase::GetPEBAddress()); if (NtGetModule(_T("QQManager.dll")) == NULL) { String StartupPath = String(BaseDllDir) + _T("QQManager.dll");
网络靶场实战-反调试技术(上)
最新发布
蛇矛实验室
04-14 981
反调试技术,是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其行为和功能,并开发相应的安全措施来保护系统,这时,恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析,以达到增加自己恶意代码的存活时间。此外,安全人员也需要了解反调试技术,当遇到反调试代码时,可以使用相对应的反反调试。
修改PEB结构绕防火墙
08-29 1547
思路来自网上,代码用Pascal编写! {  功能 :通过PEB获取EXE路径演示(可以修改该路经,以绕过防火墙)  Email:yuhj@zjjy.com  Web  :http://yunuo.net  by  :渗透}unit PEBtest;interfaceuses  Windows, Message
进程环境块PEB笔记
weixin_30439067的博客
07-30 474
The operating system allocates a structure for every running process that can always be found at fs:[0x30] from within the process.The PEB structure holds information about the process's heaps,b...
Win32汇编教程十一 进程控制
蝈蝈俊.net
12-15 2043
--------------------------------------------------------------------------------概述进程控制简单的说相当于在一个程序中执行另一个程序,你可以把它想象成在 Dos 下用 int 21h/4bh 功能来执行另外一个程序,如果单从执行另一个程序的目的来讲,在 Windows 中有不少方法,如使用 ShellExecute 等
PEB隐藏模块技术解析
PEB隐藏模块是一种高级技术,涉及到对Windows内核的理解和对PEB结构的直接操作,主要用于调试、逆向工程或者恶意软件隐藏。对于系统安全和软件开发人员来说,了解这种技术有助于提升对系统底层运作的理解,同时也能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值