x64进程如何获得wow64进程的PEB

最新推荐文章于 2023-07-08 10:24:38 发布
最新推荐文章于 2023-07-08 10:24:38 发布
阅读量6.2k 收藏 6
点赞数 3
分类专栏: x64进程如何获得wow64进程的PEB 文章标签: x64进程如何获得wow64进程的PEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/47022695
版权 

wow64进程存在2个PEB,如果通过ZWQueryInformationProcess查询的到的是wow64进程的native层PEB,有的信息并不是我们想要的

wow64进程的实质是通过2个不同的代码段,共享一个相同的数据段来确保一个进程内能同时运行32位程序和64位

这2个段的CS分别位23 和33,不过这个和PEB无关,

PEB的位置:(1)native的gs段 (2)wow64的是fs段


相关api使用:


BOOL WINAPI MyWow64GetThreadSelectorEntry(HANDLE hThread, DWORD dwSelector, PWOW64_LDT_ENTRY lpSelectorEntry)
{
	typedef BOOL (WINAPI * pfn_Wow64GetThreadSelectorEntry)(HANDLE hThread, DWORD dwSelector, PWOW64_LDT_ENTRY lpSelectorEntry);
	HMODULE hk = GetModuleHandle(L"kernel32.dll");

	if(hk)
	{
		pfn_Wow64GetThreadSelectorEntry fn_Wow64GetThreadSelectorEntry = (pfn_Wow64GetThreadSelectorEntry)::GetProcAddress(hk, "Wow64GetThreadSelectorEntry");

		if(fn_Wow64GetThreadSelectorEntry)
		{
			return fn_Wow64GetThreadSelectorEntry(hThread, dwSelector, lpSelectorEntry);
		}
	}

	return FALSE;
}

BOOL WINAPI MyWow64GetThreadContext(HANDLE hThread, PWOW64_CONTEXT lpContext)
{
	typedef BOOL (WINAPI * pfn_Wow64GetThreadContext)(HANDLE hThread, PWOW64_CONTEXT lpContext);
	HMODULE hk = GetModuleHandle(L"kernel32.dll");

	if(hk)
	{
		pfn_Wow64GetThreadContext f = (pfn_Wow64GetThreadContext)::GetProcAddress(hk, "Wow64GetThreadContext");

		if(f)
		{
			return f(hThread, lpContext);
		}
	}

	return FALSE;
}


这两个函数是native64模式的导出函数,可以获得一个线程的当前上下文和查询段选择子对应的LDT,有了这个就可以计算fs段了

剩下的事情简单了

大概步骤

(1)找到属于wow64进程的一个线程

(2)获得fs段

(3)通过TEB结构查询PEB结构


注意的是在64位编译器编译的时候TEB PEB等结构中的指针被编译成64位的了,你应该改改!!


BOOL GetWow64ProcessCurrentDirectoryByTibAddress(HANDLE hProcess, DWORD dwTibAddress, WCHAR* OUT szDir, DWORD cchDir)
{
	BOOL bRet = FALSE;
	SIZE_T szRead = 0;

	if(hProcess)
	{
		WOW64_TEB teb = {};

		if(ReadProcessMemory(hProcess, (LPCVOID)dwTibAddress, &teb, sizeof(WOW64_TEB), &szRead) && szRead <= sizeof(WOW64_TEB))
		{
			WOW64_PEB_FOR_PROCESS_PARAMETERS peb = {};

			if(ReadProcessMemory(hProcess, (LPCVOID)teb.ProcessEnvironmentBlock, &peb, sizeof(WOW64_PEB_FOR_PROCESS_PARAMETERS), &szRead) && szRead <= sizeof(WOW64_PEB_FOR_PROCESS_PARAMETERS))
			{
				WOW64_PROCESS_PARAMETERS params = {};

				if(ReadProcessMemory(hProcess, (LPCVOID)peb.PWOW64_PROCESS_PARAMETERS_ProcessParameters, ¶ms, sizeof(WOW64_PROCESS_PARAMETERS), &szRead) && szRead <= sizeof(WOW64_PROCESS_PARAMETERS))
				{
					if(params.CurrentDirectory.DosPath.Length > 0)
					{
						LPVOID  Buffer = ::HeapAlloc(::GetProcessHeap(), 0, params.CurrentDirectory.DosPath.Length + sizeof(WCHAR));

						// 读取进程启动命令行参数
						if(Buffer && ReadProcessMemory(hProcess, (LPCVOID) params.CurrentDirectory.DosPath.Buffer, Buffer, params.CurrentDirectory.DosPath.Length, &szRead) &&  szRead <= params.CurrentDirectory.DosPath.Length)
						{
							PWCHAR  cl = (PWCHAR)Buffer;
							cl[params.CurrentDirectory.DosPath.Length / 2] = 0;
							StringCchCopy(szDir, cchDir, cl);
							//
							bRet = TRUE;
						}

						::HeapFree(::GetProcessHeap(), 0, Buffer);
					}
				}
			}
		}
	}

	return bRet;
}

BOOL GetWow64ProcessCurrentDirectoryByTibAddress(DWORD dwPID, DWORD dwTibAddress, WCHAR* OUT szDir, DWORD cchDir)
{
	if(!szDir || !cchDir)
		return FALSE;

	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwPID);
	BOOL   bRet		= FALSE;

	if(hProcess)
	{
		bRet = GetWow64ProcessCurrentDirectoryByTibAddress(hProcess, dwTibAddress, szDir, cchDir);
		CloseHandle(hProcess);
	}

	return bRet;
}

BOOL GetWow64ProcessCurrentDirectory(DWORD pid, WCHAR* OUT szDir, DWORD cchDir)
{
	if(!szDir || !cchDir)
		return FALSE;

	BOOL bRet = FALSE;
	WOW64_CONTEXT wow64Context = {};
	wow64Context.ContextFlags = /*CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS|*/CONTEXT_SEGMENTS;
	WOW64_LDT_ENTRY selector_entry = {};
	BOOL bGetContextOK = FALSE;
	BOOL bGetSelector = FALSE;
	HANDLE hProcessSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, pid);

	if(INVALID_HANDLE_VALUE != hProcessSnapShot)
	{
		THREADENTRY32 thread_entry = {sizeof(THREADENTRY32)};
		DWORD dwFirstThreadID = 0;
		BOOL bFindFirstThread = FALSE;

		if(Thread32First(hProcessSnapShot, &thread_entry))
		{
			do
			{
				if(thread_entry.th32OwnerProcessID == pid)
				{
					bFindFirstThread = TRUE;
					dwFirstThreadID = thread_entry.th32ThreadID;
					break;
				}
			}
			while(Thread32Next(hProcessSnapShot, &thread_entry));
		}

		if(bFindFirstThread)
		{
			HANDLE hThread = OpenThread(THREAD_GET_CONTEXT | THREAD_QUERY_INFORMATION /*| THREAD_SUSPEND_RESUME*/, FALSE, dwFirstThreadID);

			if(hThread)
			{
		
				if(MyWow64GetThreadContext(hThread, &wow64Context))
				{
					bGetContextOK = TRUE;

					if(MyWow64GetThreadSelectorEntry(hThread, (wow64Context.SegFs), &selector_entry))
					{
						bGetSelector = TRUE;
					}
				}

				CloseHandle(hThread);
			}
		}

		CloseHandle(hProcessSnapShot);
	}

	if(bGetContextOK && bGetSelector)
	{
		DWORD dwBase = (selector_entry.BaseLow) | (selector_entry.HighWord.Bits.BaseMid << 16) | (selector_entry.HighWord.Bits.BaseHi << 24);
		return GetWow64ProcessCurrentDirectoryByTibAddress(pid, dwBase, szDir, cchDir);
	}

	return bRet;
}


其他的代码不多说了,自己动手丰衣足食!!









nLif
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python对GTA学习研究
Wrpzkb
10-10 1416
EPIC送了GTA5,最近考完试和朋友一起玩了下,由于刚开始,等级低,朋友带我打任务的时候,完全就打不过,我的甲没几下就爆了,刚开始没什么。 但是今天去打末日3的时候,由于只有两个人,玩过的都知道,末日3是需要一个人去玩小游戏,然后其他人保护玩小游戏那个队友,末日3的NPC是会一直刷,怎么打都打不完,有一瞬间就变成了CSGO练爆头模式,完全没得打(打不过就充钱,没得充钱就变强)。后面搜了搜,发现别人歪瓜的截图,有锁血功能,就想去了解一下。 打开GTAV,进入故事模式。GTAV官方在故事模式中,有给出作弊代.
让其他程序强行执行自己的 ShellCode【C++】
LiWeiHua01的博客
09-08 642
让其他程序执行自己的代码
python灰帽子--自己动手写调试器
I have a dream
02-16 2641
一、为了对一个进程进行调试,你必须手写用一些方法把调试器和进程链接起来。所以我们的调试器可以有两种:      (1)装载一个可执行程序然后运行它      (2)动态的附加到一个运行的进程。       优点:       (1)在于他能在程序运行任何代码之前完全的控制程序,这对分析病毒或恶意代码很有用。       (2)附加到一个进程,它允许你跳过启动部分的代码,分析你感兴趣的代码
PsGetProcessPeb and PsGetProcessWow64Process internals
輚至消亡
07-10 1645
Disclaimer This content is presented solely for educational and entertainment purposes only. While the author has done their best to ensure that any information is correct and up-to-date at the time of writing and publishing, the author makes no represent
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3186
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
使用API NtWow64QueryInformationProcess64 获取进程的64位PEB结构地址。使用API NtWow64ReadVirtualMemory64 读取进程的64位内存地址的数据。通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 ...
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
e语言-32位进程枚举64位进程模块信息
08-23
所以Wow64进程 里面' 既有 64位环境结构,又有32位环境结构, 使用api NtWow64QueryInformationProcess64 可以获取 进程的64位PEB结构地址,' 使用api NtWow64ReadVirtualMemory64 可以读取进程的64位内存地址的数据....
易语言-eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写
06-25
也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成; 部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。 实现易语言纯...
eWOW64Ext v1.1 - 加载任意 32/64 模块|64 位汇编及进程读写-易语言
06-12
也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成; 部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。 模块功能: ...
eWOW64Ext v1.2 - 加载任意 32/64 模块|动态调用|64 位汇编|64 位进程读写-易语言
06-12
也就是:wow 环境 -> 进入 x64 环境 -> x64 函数调用 或 x64 汇编代码 -> 退出 x64 环境 -> wow 环境,以上必须在一个子程序内完成; 部分实现代码借鉴 c++ 开源代码:wow64ext,在此感谢作者 rewolf。 模块功能: ...
DBGHider:一个IDA插件旨在隐藏进程中的调试器
05-12
在函数dbg_process_start修补PEB(流程环境块)和WoW PEB。 钩函数,例如dbg_library_load中的dbg_library_load 。 挂钩 DBGHider使用两种方法来挂接函数:条件断点和内联挂接。 条件断点 IDA Windows调试器支持...
BlackBone:我和朋友inc-Majdev一起做过
02-14
黑骨Windows内存黑客库特征x86和x64支持流程互动管理PEB32 / PEB64 通过WOW64障碍管理流程进程记忆分配和释放虚拟内存更改内存保护读/写虚拟内存Craft.io模块枚举所有已加载的(32/64位)模块。 使用装入程序列表/...
Blackbone, Windows 内存黑客库.zip
09-18
Blackbone, Windows 内存黑客库 Blackbone Windows 内存黑客库特性x86和x64支持过程交互管理 peb32/peb64通过WOW64屏障管理进程进程内存分配和释放虚拟内存更改内存保护读取/写入虚拟内存过程模块枚举加
【原】wow64 x86/x64 代码切换过程分析
weixin_30872733的博客
10-12 595
下面以ntdll32!ZwQueryInformationProcess API为例分析 x86代码与x64代码之间的切换过程, 32bit的test程序: step1: ntdll32!ZwQueryInformationProcess:775bfb18 b816000000 mov eax,16h775bfb1d 33c9 xor ecx,...
VC32位程序通过NtWow64ReadVirtualMemory64 PEB枚举32-64位程序进程模块及基址
wh445306
08-07 3491
//#include "pch.h" #include <stdio.h> #include "windows.h" #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)( IN HANDLE ProcessHandle, IN ULONG ProcessInf...
4.4 x64dbg 绕过反调试保护机制
最新发布
m0_62396648的博客
07-08 1237
我们以第一种反调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,则返回True,否则返回False。函数通过检查特定的内存地址来判断是否有调试器在运行。具体来说,该函数检查了PEB进程环境块)数据结构中的字段,该字段标识当前程序是否处于调试状态。如果该字段的值为1,则表示当前程序正在被调试,否则表示当前程序没有被调试。获取PEB的方式有许多,虽然LyScript插件内提供了。
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2246
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
通过PEB遍历进程模块(x64/wow4)
05-12
PEB(Process Environment Block)是Windows操作系统中的一个重要结构体,它包含了当前进程的环境信息。通过PEB,我们可以获取当前进程的模块信息,包括模块的基地址、模块的名称等。 在x64wow64下,PEB结构体的定义并没有变化,但是由于x64wow64的指针长度不同,所以在使用PEB时需要注意指针长度的问题。 以下是通过PEB遍历进程模块的代码示例: ```c++ #include <windows.h> #include <winternl.h> #include <iostream> typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *PUNICODE_STRING; typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICODE_STRING BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; union { LIST_ENTRY HashLinks; struct { PVOID SectionPointer; ULONG CheckSum; }; }; union { ULONG TimeDateStamp; PVOID LoadedImports; }; PVOID EntryPointActivationContext; PVOID PatchInformation; LIST_ENTRY ForwarderLinks; LIST_ENTRY ServiceTagLinks; LIST_ENTRY StaticLinks; } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY; typedef struct _PEB { BOOLEAN InheritedAddressSpace; BOOLEAN ReadImageFileExecOptions; BOOLEAN BeingDebugged; BOOLEAN Spare; HANDLE Mutant; PVOID ImageBaseAddress; PPEB_LDR_DATA LoaderData; PVOID ProcessParameters; PVOID SubSystemData; PVOID ProcessHeap; PVOID FastPebLock; PVOID AtlThunkSListPtr; PVOID IFEOKey; PVOID CrossProcessFlags; PVOID UserSharedInfoPtr; ULONG SystemReserved; ULONG AtlThunkSListPtr32; PVOID ApiSetMap; ULONG TlsExpansionCounter; PVOID TlsBitmap; ULONG TlsBitmapBits[2]; PVOID ReadOnlySharedMemoryBase; PVOID HotpatchInformation; PVOID ReadOnlyStaticServerData; PVOID AnsiCodePageData; PVOID OemCodePageData; PVOID UnicodeCaseTableData; ULONG NumberOfProcessors; ULONG NtGlobalFlag; LARGE_INTEGER CriticalSectionTimeout; ULONG_PTR HeapSegmentReserve; ULONG_PTR HeapSegmentCommit; ULONG_PTR HeapDeCommitTotalFreeThreshold; ULONG_PTR HeapDeCommitFreeBlockThreshold; ULONG_PTR NumberOfHeaps; ULONG_PTR MaximumNumberOfHeaps; PVOID ProcessHeaps; PVOID GdiSharedHandleTable; PVOID ProcessStarterHelper; PVOID GdiDCAttributeList; PVOID LoaderLock; ULONG OSMajorVersion; ULONG OSMinorVersion; USHORT OSBuildNumber; USHORT OSCSDVersion; ULONG OSPlatformId; ULONG ImageSubsystem; ULONG ImageSubsystemMajorVersion; ULONG ImageSubsystemMinorVersion; ULONG_PTR ImageProcessAffinityMask; ULONG_PTR GdiHandleBuffer[34]; PVOID PostProcessInitRoutine; PVOID TlsExpansionBitmap; ULONG TlsExpansionBitmapBits[32]; ULONG SessionId; ULARGE_INTEGER AppCompatFlags; ULARGE_INTEGER AppCompatFlagsUser; PVOID pShimData; PVOID AppCompatInfo; UNICODE_STRING CSDVersion; PVOID ActivationContextData; PVOID ProcessAssemblyStorageMap; PVOID SystemDefaultActivationContextData; PVOID SystemAssemblyStorageMap; ULONG_PTR MinimumStackCommit; } PEB, *PPEB; void EnumerateProcessModules(HANDLE hProcess) { PEB peb; ZeroMemory(&peb, sizeof(PEB)); // 获取PEB地址 BOOL bRet = ReadProcessMemory(hProcess, &NtCurrentTeb()->ProcessEnvironmentBlock, &peb, sizeof(PEB), NULL); if (!bRet) { std::cout << "ReadProcessMemory failed!" << std::endl; return; } // 遍历模块列表 PPEB_LDR_DATA pLdrData = peb.LoaderData; if (pLdrData == NULL) { std::cout << "LoaderData is NULL!" << std::endl; return; } PLIST_ENTRY pListHead = &pLdrData->InMemoryOrderModuleList; PLIST_ENTRY pListEntry = pListHead->Flink; while (pListEntry != pListHead) { PLDR_DATA_TABLE_ENTRY pLdrEntry = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks); if (pLdrEntry->DllBase != NULL) { // 获取模块基地址和名称 wchar_t szModule[MAX_PATH] = { 0 }; bRet = ReadProcessMemory(hProcess, pLdrEntry->FullDllName.Buffer, szModule, pLdrEntry->FullDllName.Length, NULL); if (bRet) { std::wcout << L"Module Base: " << pLdrEntry->DllBase << L", Module Name: " << szModule << std::endl; } } pListEntry = pListEntry->Flink; } } int main(int argc, char* argv[]) { DWORD dwProcessId = 0; if (argc > 1) { dwProcessId = atoi(argv[1]); } HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId); if (hProcess == NULL) { std::cout << "OpenProcess failed!" << std::endl; return 0; } EnumerateProcessModules(hProcess); CloseHandle(hProcess); return 0; } ``` 需要注意的是,以上代码中使用了一些Windows内部的结构体和函数,如`UNICODE_STRING`、`LIST_ENTRY`、`NtCurrentTeb()`等,需要包含相应的头文件,并且这些结构体和函数都不是官方公开的API,可能会在未来的操作系统版本中发生变化。因此,开发者在使用这些结构体和函数时需要特别注意。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值