动态定位 PEB 在 EPROCESS 中的便移量

最新推荐文章于 2019-12-26 21:33:05 发布
最新推荐文章于 2019-12-26 21:33:05 发布
阅读量1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: buffer system null byte c im
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2247699
版权

bool GetPEBOffset(ULONG* PEBOffset) EJCKVT  
{ BSO6Z("a7  
     ULONG n,*Buffer,PID,Count=0,i=0; ${iMlcd/,  
     UCHAR* SearchBuffer; Je%)/U  
     PEPROCESS Pr = NULL; ,p:crJ9  
     bool bOK; |bsJ1=U  
     ULONG Array[3]={0,0,0}; n]3|Ca*  
     if(PEBOffset) uGVn}+  
           *PEBOffset=0; > >u R L  
     ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 9<-0B%8  
     Buffer = (ULONG*)ExAllocatePool(NonPagedPool,n*sizeof(ULONG)); %sKb  
     ZwQuerySystemInformation(SystemProcessInformation,Buffer,n*sizeof(ULONG),0); G]b})kb  
     ULONG Offset = 0; ~$ ]<?5  
     SYSTEM_PROCESS_INFORMATION*P=(SYSTEM_PROCESS_INFORMATION*)Buffer; wZ~{@tIw  
     do LE JKY< H  
     { ~~~)+y  
           P=(SYSTEM_PROCESS_INFORMATION*)((BYTE*)P+Offset); ^8H+P4  
           Offset = P->NextEntryOffset; s$BpH5[=h=  
           PID = PTR_TO_NUM(P->UniqueProcessId); M' ([~  
           if(PID<8)continue; _lA+8%?e  
           Pr = NULL; gf n>~(  
           PsLookupProcessByProcessId(NUM_TO_PTR(PID),&Pr); &n,1JS5}  
           if(Pr) Z #-0(@  
           { IMR1R#u  
                 SearchBuffer=(UCHAR*)Pr; C[Xn"o+h  
                 if(MmIsAddressValid((VOID*)&SearchBuffer[0x150])==false) jxN:  
                       continue;                   a@D>rT*G  
                 if(MmIsAddressValid((VOID*)&SearchBuffer[0x304])==false) K{)h!h4v5  
                       continue; ;LW;HKq<  
                 for(n = 0x150; n < 0x300;n++) n`,'&C$  
                 { a- xa/i(e  
                       if((*(DWORD*)&SearchBuffer[n] & 0x7FFD0FFF)==0x7ffd0000) /=Q N1m  
                       { (1 n_aIz  
                             Array=n; 'qyx"t  
                             i++; U<~WMl8  
                             break;                                     hk.hA  
                       } DJzMwe  
                 } #j_3DT`jb  
                 if(i>=3) FWal&plg  
                       break; ^o-uOOw [  
           } [ i r^&4c  
     }while(Offset); &56@(2S  
     ExFreePool(Buffer); X(zYGWn j  
     bOK=true; | hDYe?gI  
     for(i = 0; i < 3;i++) dM*gm=  
     { ocMktwm~  
           if(Array!=Array[0]) -f~5#6Q]  
           { m G-4F/  
                 bOK=false; wo!rp|>*  
                 break; 9jWO#8&[1  
           } w=4RBNe  
     }       f<JD JTe%{  
     if(bOK) ~CSi@]49  
     { dwR. 4KY  
           if(PEBOffset) 9bSVKv]  
                 *PEBOffset=Array[0]; ai Uk:e  
           DbgPrint("Syser : Find PEB at %x of EPROCESS/n",Array[0]); h[B#cF.3'  
     } j`2zNEO9]  
     return bOK; o 2~bU/  
}  

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举进程(2)——利用EPROCESS/PEB地址特征进行内存搜索
北极星2003的专栏
06-05 3542
 两个搜索特征:(1)观察所有进程的EProcess结构地址,可以发现都在0x80000000到"system"进程的EPROCESS之间。这就表明所有EPROCESS结构peb指针域也应该在这个区间。这就可以大致确定搜索范围。不过在实际测试(xp2)发现winlogon的EPROCESS大于system的EPROCESS,因此还需要修正搜索范围的最大值。如果对效率要求比较高,还可以把搜索范
WIN7的EPROCESSPEB和WINXPSP3的EPROCESS
kfysck
11-06 5131
WIN7 EPROCESS 这个命令是查看_EProcess结构下面的所有结构体和联合体 dt -r1 _Eprocess lkd> dt nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x098 ProcessLock      : _EX_PUSH_LOCK    +0x0a0 CreateTime       :
EPROCESS ETHREAD PEB重要成员
05-06 191
-----------------------------------------------------------------------win7 x86---------------------------------------------------------------------------- kd> dt _PEBnt!_PEB +0x000 Inheri...
在EPROCESS搜索ProcessName的偏移
收集学习过程中对自己有帮助的牛人文章
11-30 986
ULONG gProcessNameOffset; void GetProcessNameOffset() { PEPROCESS curproc; int i; curproc = PsGetCurrentProcess(); for( i = 0; i < 3*PAGE_SIZE; i++ ) { if( !strncmp( "System", (PCHAR) curproc
windbg下EPROCESS获取进程加载模块
125096
06-28 2689
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
IPMA PEB 英文版 带文目录
01-10
IPMA PEB 英文版 带文目录,正在进行PEB文翻译,
eprocess.zip_EPROCESS_eprocess结构体
09-24
在Windows操作系统,EPROCESS结构体是内核级的数据结构,它代表了系统的一个进程。这个结构体包含了关于进程的各种信息,如进程ID、内存分配、权限、句柄表等。当我们谈论“wrk当前进程的EPROCESS结构体”时,...
Windows内核驱动EPROCESS遍历进程模块
12-14
EPROCESS结构体在Windows内核代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行文件。 EPROCESS结构体是Windows内核的核心数据结构之一,它包含了关于进程的各种信息,如进程ID、安全上...
get-EPROCESS.zip_EPROCESS
09-23
在Windows操作系统,EPROCESS是内核模式下的一个数据结构,它代表了系统的每一个进程。EPROCESS结构包含了关于进程的各种信息,如进程ID、安全上下文、虚拟内存分配等。"get-EPROCESS.zip_EPROCESS"这个文件组合...
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9727
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1654
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1109
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
进程结构体和线程结构体
kernweak的博客
05-03 1135
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
在驱动获取进程全路径
leon
07-19 3081
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层对文件的各种操作映射到微过滤驱动就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
驱动级别 进程隐藏pid
h1028962069的专栏
08-03 3900
#ifndef CXX_DIRVERPROHIDE_H #include "dirverprohide.h" #endifVOID DriverUnload(__in struct _DRIVER_OBJECT *DriverObject) { KdPrint(("驱动卸载成功!")); KdPrint(("PID = %d", PsGetCurrentProcessId())
进程隐藏的各种方法 以及分析比较以及实现链接
weixin_30588729的博客
09-09 277
典型进程隐藏技术1 基于系统服务的进程隐藏技术在 W I N 9X 系列操作系统, 系统进程列表不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表隐形 在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。 2 基于API HOOK的进程...
windows peb
最新发布
08-08
PEB (Process Environment Block) 是 Windows 操作系统的一个数据结构,用于存储进程的运行环境信息。它包含了许多与进程相关的细节,如进程的全局变量、进程堆栈的基地址、命令行参数、环境变量等。 PEB 可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值