通过NtCurrentTeb获取系统版本

已于 2022-11-14 17:20:22 修改
阅读量603 收藏
点赞数
文章标签: windows c++
于 2022-11-14 17:16:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haojiexingbang/article/details/127850468
版权
本文介绍了在Windows系统中,由于API不再适用,如何通过NtCurrentTeb函数获取当前系统的版本信息。文章提到在MFC工程中直接使用NtCurrentTeb会导致编译错误,因此采取动态加载DLL的方法来解决这个问题。实验证明,该方法适用于Windows XP及更高版本,但在NT4、2000和98系统上的表现未进行测试。
摘要由CSDN通过智能技术生成

最近获取Windows版本号,发现win10系统显示6.2版,试了几个API函数都是显示6.2,然后一查,原来MS淘汰了这些API。
那么就只好用PEB来获取系统版本了。

MSDN上面寥寥几句

NtCurrentTeb function (winnt.h)
Article
06/30/2021
2 minutes to read
The NtCurrentTeb routine returns a pointer to the Thread Environment Block (TEB) of the current thread.

Syntax
C++

Copy
_TEB * NtCurrentTeb();
Return value
A pointer to the thread environment block of the current thread.

Requirements

Minimum supported client Available in Windows 7 and later versions of Windows.
Target Platform Universal
Header winnt.h
See also
NtXxx Routines

使用条件倒是很简单
新建个mfc工程

#include <winnt.h>
NtCurrentTeb();

--------------------Configuration: test - Win32 Debug--------------------
Compiling…
testDlg.cpp
Linking…
testDlg.obj : error LNK2001: unresolved external symbol _NtCurrentTeb
Debug/test.exe : fatal error LNK1120: 1 unresolved externals
执行 link.exe 时出错.

test.exe - 1 error(s), 0 warning(s)

编译,结果报错了,error LNK2001,缺lib文件,然后也没有找到ntdll.lib,也就是VC6里面没法直接使用这个函数了,那就换个方法,动态加载dll,然后调用这个函数。

H文件

typedef struct _PEB {
   
    BOOLEAN InheritedAddressSpace;
    BOOLEAN ReadImageFileExecOptions;
    BOOLEAN BeingDebugged;
    BOOLEAN BitField;
    HANDLE Mutant;
    PVOID ImageBaseAddress;
    PVOID Ldr;
    PVOID ProcessParameters;
    PVOID SubSystemData;
    PVOID ProcessHeap;
    PVOID FastPebLock;
    PVOID AtlThunkSListPtr;
    PVOID SparePtr2;
    ULONG EnvironmentUpdateCount
最低0.47元/天 解锁文章
haojiexingbang
关注
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 281
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
逆向学习笔记(1)
谈成(C/C++)
04-12 295
1.TLS回调函数 1)TLS回调会在线程的创建和销毁时被调用,常用来做反调试。 2)TLS回调函数位于IMAGE_DATA_DIRECTORY[9](数据目录)的位置,即TLS table,与导入导出表类似。 3)其中TLS table结构是IMAGE_TLS_DIRECTORY。而其中的AddressOfCallback则表示回调函数地址的数组,也就是说可能会有多个TLS回调函数。 4)TLS回调函数定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(
TLS线程局部存储
johns78m的专栏
08-09 456
https://blog.csdn.net/dayenglish/article/details/20232131 多线程程序当中,因为线程之间共享进程的数据,所以在访问全局数据的时候,可能需要加锁互斥访问。但是全局数据的互斥访问只有在多个线程之间协作进行处理的时候,才有必要。但是如果数据在各个线程之间都需要单独的副本,比如说VC CRT库当中的errno变量,我们希望这个变量仅仅由当前线程错误...
NtCurrentTeb()->ReservedForOle
最新发布
ma_de_hao_mei_le的博客
01-04 445
这个结构体有很多成员,我在这里慢慢记录。啥时候碰到就来这里更新一下。
TEB和PEB
南宫封清的博客
04-11 3138
TEB(Thread Environment Block,线程环境块) 线程环境块中存放着进程中所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
四种方法获取Teb和Peb
QXinHan的博客
12-05 2019
TEB和PEB学习记录(一)
QXinHan的博客
11-07 648
TEB和PEB的学习记录
在栈溢出和堆溢出中利用SEH
wangtiankuo的博客
11-02 1231
本文总结自《0day安全:软件漏洞分析技术》 1.TEB 该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry  ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。   fs:[0x18]处存放当前线程TEB结构体指针,值009BF00,即fs:[0x0]是TEB的起始地址。 此处介绍第一个结构...
v13 = NtCurrentTeb()->NtTib.ExceptionList;
06-10
而当前线程的TEB中存储了一个指向该链表头的指针,通过访问该指针,可以获取到当前线程的异常处理链表头指针。 因此,这段代码的作用就是获取当前线程的异常处理链表头指针,并将其保存到变量v13中,以便后续使用。
通过PEB遍历进程模块(x64/wow4)
05-12
以上代码中使用了一些Windows内部的结构体和函数,如`UNICODE_STRING`、`LIST_ENTRY`、`NtCurrentTeb()`等,需要包含相应的头文件,并且这些结构体和函数都不是官方公开的API,可能会在未来的操作系统版本中发生变化...
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
m0_62783065的博客
12-30 479
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEB,TEB?通杀shellcode的思路
Windows NT内核函数大全
qq_42577465的博客
06-06 1699
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2344
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
windows-PEB&TEB
Starr
10-08 865
文章目录结构体BeingDebuggedLdr老版本成员 Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。 MSDN文档给的资料很少,以后练习调试会慢慢补充。 FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB 获取PEB地址: mov eax, dword ptr fs:[30h] 或者...
(Qt) 获取系统详细版本号 OS Build
Ryan
04-08 1897
直接通过调用管道命令行,但是会有一个黑框(控制台)闪过 #include <stdlib.h> #include <stdio.h> #include <iostream> using namespace std ; // 描述:execmd函数执行命令,并将结果存储到result字符串数组中 // 参数:cmd表示要执行的命令 // result是执行的结果...
Windows核心编程笔记(八)用户模式下的线程同步
春暖花开
01-10 684
Long a; DWORD WINAPI ThreadFunc2(PVOID pvParam) { InterlockedExchangeAdd(&a,1); Return 0; } 第一部分  原子访问  引述自http://blog.csdn.net/ithzhang/article/details/8291027  系统中的线程必须访问系统资源,
通过TEB遍历进程模块
Koma的主页
04-03 3294
#include "StdAfx.h" #include #include #include typedef struct _PEB_LDR_DATA { UINT Length; BYTE Initialized; void* SsHandle; LIST_ENTRY InLoadOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA;
171124 逆向-线程环境块(TEB
whklhhhh的博客
11-28 2215
1625-5 王子昂 总结《2017年11月24日》 【连续第420天总结】 A. TEB(线程环境块) B. 介绍该结构体中包含进程中运行线程的各种信息,每个线程都对应一个TEB结构体。 不同OS中TEB结构的形态略微不同。定义结构体中有非常多的成员,其中用户模式调试中起着重要作用的成员有两个:+0 NtTib : _NT_TIB ... +0X30 ProcessEnvironmentB
线程本地存储TLS详解
For Geek
05-12 5819
博客的大部分原理转自:https://blog.csdn.net/zhangmiaoping23/article/details/44345341 本人自己把觉得自己需要的部分自己进行了综合。 TLS(Thread Local Storage)是为了多线程考虑其线程本身需要维持一些状态而设置的一种机制. TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问,TE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值