8.asm-PEB、TEB的地址(ntdll!RtlGetCurrentPeb得到PEB)

最新推荐文章于 2023-02-02 13:20:43 发布
最新推荐文章于 2023-02-02 13:20:43 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 汇编(asm)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/37696539
版权

如果不想写汇编的可以用这个

PPEB NTAPI RtlGetCurrentPeb();
PPEB Peb=RtlGetCurrentPeb();

其汇编就是:

ntdll!RtlGetCurrentPeb:
7c97efa9 64a118000000    mov     eax,dword ptr fs:[00000018h]
7c97efaf 8b4030          mov     eax,dword ptr [eax+30h]
7c97efb2 c3              ret

FS:[0x18]指向TEB本身

来来,万能的windbg:

0:000> dd fs:[0x18] L1
0053:00000018  7efdd000
0:000> r $teb
$teb=7efdd000

0:000> dt _TEB -y ProcessEnvironmentBlock @$teb 
test1!_TEB
   +0x030 ProcessEnvironmentBlock : 0x7efde000 _PEB


花熊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32位/64位 获得进程peb的方法
HsinTsao的博客
03-05 3248
逐渐将博客园的文章搬到CSDN来吧。基于上一篇文章获取peb结构,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程Rea...
8.1 TEBPEB概述
最新发布
CSDN
09-25 7654
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境块`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境块`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3204
1.Windows通过TEB封装信息,TEB包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEBTEB?通杀shellcode的思路
m0_62783065的博客
12-30 433
【免杀前置课——shellcode】二十二、使用PEB TEB查找核心模块Kernel32.dll user32.dll ntdll.dll,什么是PEBTEB?通杀shellcode的思路
利用PEB隐藏进程模块
m0_52333150的博客
02-02 290
PEB模块隐藏
TEBPEB
南宫封清的博客
04-11 3079
TEB(Thread Environment Block,线程环境块) 线程环境块存放着进程所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
关于内和调试无法查看ntdll内存的问题
ma_de_hao_mei_le的博客
07-29 426
使用windbg的.process命令可以让内核调试器使用指定的用户模式下的进程作为进程上下文,这样一来调试器就可以访问到该进程的虚拟内存空间了。在内核调试下,用户空间的内存是否可以访问,取决于当前的进程上下文,而ntdll就是加载在用户空间的。,然后在目标机器上起一个notepad.exe进程(记事本)然后在windbg上break,切换进程上下文。可以看到都是在用户空间内存范围的。.reload/f重新加载。可以先放行目标机器执行流程。......
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1387
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
32位 64位 获得进程peb的方法
aijuzhou1959的博客
02-14 502
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
通过PEB寻找函数地址
weixin_30781107的博客
08-27 526
  通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。   摘自PEB LDR DATA: typedef struct _PEB_LDR_DATA { 0x00 ULONG Length; /* Size of structure, used...
通过PEB获取模块基址
SUNE__学无止境
05-29 4105
PEB结构typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptions; /*002*/ UCHAR BeingDebugged; /*003*/ UCHAR SpareBool; // Allocation size /*004*/ H
fs寄存器获取PEB/TEB
shuishan_lmy的博客
05-24 1258
PEB是什么
TracyZhongcf的专栏
11-11 3351
 PEB:process enviroment block
动态调用API方法PEB方法
05-11 1652
Rhett的代码#include "stdafx.h"#include #include int main(int argc, char* argv[]){         _asm    {        mov         eax,fs:30h        mov         eax,[eax+0Ch]        mov         esi,[eax+1Ch]       
PEBTEB资料整合
weixin_30591551的博客
01-07 357
一、概念   TEB(Thread Environment Block,线程环境块)系统在此TEB保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的...
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 973
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
4月5日,学习shellcode,用peb找函数地址
uuty的专栏
04-05 2768
虽然最后事情的结果很郁闷,但间的过程还是有些收获的,在编shellcode的时候,很重要的就是要找到要用的函数在内存的位置,网上有很多写好的模板,方法就是通过peb和SEH找,找到的模板是用peb的。主要目的就是找到kernel.dll在内存的位置,进而找到GetProcAddress()的位置,有了这两个,就可以有LoAdLibrAry(),然后其他的函数地址问题就都解决了FS:0是teb
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
解读E:\oracle\product\10.2.0\db_1\bin\oradim.exe-startup -sid +asm -usrpwd systrqxv "" -log oradim.log -nocheck 0
03-31
-sid asm:表示要启动的数据库实例的名称为asm。 -usrpwd systrqxv:表示以systrqxv这个用户的身份启动数据库实例。 "":表示用户systrqxv没有密码。 -log oradim.log:表示将启动日志保存在oradim.log文件。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值