PEB结构----枚举用户模块列表

最新推荐文章于 2024-01-02 00:22:32 发布
最新推荐文章于 2024-01-02 00:22:32 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: vcbcbdelphi的window编程 文章标签: null struct integer module list allocation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2450289
版权
参考文章:
1.   http://blog.csdn.net/ayken/archive/2...3/1509027.aspx
2.   http://icwin.net/ShowArtitle.ASP?art_id=6315&cat_id=39

本文在主主要以上述两篇文章为基础,对PEB的结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。

本文主要分为四个部分,第一部分说明PEB地址如何获得;第二部分说明PEB的框架结构;第三部对PEB中的List-Entry结构进行了详细剖析,第四部分给出了枚举用户模块列表的代码。

--------------------------------------------------------------------------------------------------------------
第一部分:PEB地址的取得

1.1原理:FS段寄存器指向当前的TEB结构,在TEB偏移0x30处是PEB指针,通过这个指针即可取得PEB的地址。
1.2实现方法:
__asm
{
mov eax,fs:[0x30]
mov PEB,eax
}
--------------------------------------------------------------------------------------------------------------
第二部分:PEB的框架结构

在PEB中的0x0c处为一指针,指向PEB_LDR_DATA结构,
在PEB_LDR_DATA的0x0c,0x14,0x1c中为三个LIST_ENTRY,在struct _LDR_MODULE的0x00,0x08和0x10处是三个对应的同名称的LIST_ENTRY, PEB_LDR_DATA和struct _LDR_MODULE就是通过这三个LIST_ENTRY对应连接起来的。

2.1 struct _PEB结构:
typedef struct _PEB { // Size: 0x1D8
/*000*/ UCHAR InheritedAddressSpace;
/*001*/ UCHAR ReadImageFileExecOptions;
/*002*/ UCHAR BeingDebugged;
/*003*/ UCHAR SpareBool; // Allocation size
/*004*/ HANDLE Mutant;
/*008*/ HINSTANCE ImageBaseAddress; // Instance
/*00C*/ VOID *DllList;
/*010*/ PPROCESS_PARAMETERS *ProcessParameters;
/*014*/ ULONG SubSystemData;
/*018*/ HANDLE DefaultHeap;
/*01C*/ KSPIN_LOCK FastPebLock;
/*020*/ ULONG FastPebLockRoutine;
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 4981
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
peb-0.20b.tar.gz
01-10
标题中的"peb-0.20b.tar.gz"是一个软件包的名称,它采用的是常见的压缩格式`.tar.gz`,这种格式在Linux和Unix-like系统中广泛使用,用于打包和压缩多个文件。"peb"是这个软件包的简称,可能是"PHP Erlang Bridge"的...
PEB结构
ShadowAssassin的专栏
01-25 6118
PEB进程环境快,下面是其一些结构 //===============================================================================================// typedef struct _UNICODE_STR { USHORT Length; USHORT MaximumLength; PWSTR pB
PEB结构学习
weixin_33672109的博客
03-04 1340
一、什么是PEB结构(Process Envirorment Block Structure)     英文翻译过来就是进程环境信息块,这里包含了一写进程的信息。我接触到这个东西主要是在研究软件的保护技术的时候,有种保护技术会检测是否有调试器正在调试保护软件,然后需要获取是否被调试的消息,这个消息存储在PEB结构中. 二、PEB结构(可以去msdn官网查看原文)     msdn地址:...
peb结构
snifftiger的专栏
08-05 322
http://bbs.pediy.com/showthread.php?t=52398
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
cpp-makin揭示反调试技巧
08-15
例如,可以检查`IsDebuggerPresent()`函数返回值,或者探测`PEB(Process Environment Block)`结构中的`BeingDebugged`标志。 2. 代码混淆:通过对代码进行混淆,可以增加逆向工程的难度,降低调试的有效性。常见...
Pebs-2D-Framework:使用Pygame的2D框架
02-23
Peb的2D框架 使用Pygame的2D框架。 运行main.py来玩名为“ I Hate Particles”的子弹地狱游戏。 这是我花了两个月的时间才做出的,无意将其开源(因此缺乏文档),但这仍然是。 在继续阅读之前,我需要提及一些有关...
易语言-32位进程枚64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
immoweb-keeper:根据条件创建自己的Immoweb照片和元数据的长期数据库
05-27
如果您希望永久保留有关物品的所有信息(包括说明,照片和结构化数据,例如PEB,卧室数量,价格),那么您来对地方了! 如果您按计划(例如每天)运行它并提供一个或多个搜索条件,则Immoweb Keeper会自动下载与...
PEB隐藏模块
09-03
PEB隐藏模块PEB
WinDBG用法详解.pdf
01-07
WinDBG用法详解.pdf 用法详解 pdf WinDBG
Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1541
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
PEB结构----用户模块列表(图)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 2075
本文在主主要以上述两篇文章为基础,对PEB结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。   本文主要分为四个部分,第一部分说明PEB地址如何获得;第二部分说明PEB的框架结构;第三部对PEB中的List-Entry结构进行了详细剖析,第四部分给出了枚用户模块列表的代码。   -----------------------
Process Environment Block(PEB
寻梦&之璐
01-25 5154
简介 PEB(Process Environment Block,进程环境块)是存放进程信息的结构体,尺寸非常大,其大部分内容都已被文档化 PEB访问方法 TEB.ProcessEnvironmentBlock成员就是PEB 结构体的地址。TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offest 30的位置。 即如下式子成立: FS:[30]=TEB.ProcessEnvironmentBlock=address of PEB
遍历PEB结构
sxr__nc的博客
09-03 719
在进行脱壳练习的时候,遇到了这方面的难题,遂,研究了一下:大概的遍历过程如下: 首先,我们要知道,32位的程序和64位程序的区别:那就是32位的程序TEB以及PEB都在fs段里边,而64位程序的TEB和PEB都在gs段里边,这是非常重要的:好接下来步入正题: 首先我们来看一下TEB的结构: 接下来我们可以来看一下PEB的具体结构:(那么怎么从TEB到PEB结构呢?我们从刚才那张图可以看到,PEB...
关于进程PEB结构的修改实现
eaglenet的专栏
02-18 4679
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
windows-PEB结构
最新发布
记录学习,一起进步
01-02 1029
peb结构指南
D1_Linux_SPI-NAND_开发指南1
08-04
文档详细阐述了驱动的体系结构、源码结构、关键数据定义以及接口说明,并提供了配置模块的相关信息,包括在uboot和kernel中的配置方法。" 1. **概述** - **编写目的**: 为了方便Sunxi平台上的SPI-NAND驱动和应用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值