Windows逆向之PEB(Process Environment Block,进程环境块)

于 2024-08-12 23:20:30 发布
阅读量526 收藏 5
点赞数 17
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/141098412
版权

PEB(Process Environment Block,进程环境块)是 Windows 操作系统中一个重要的数据结构,用于存储特定进程的相关信息。

PEB 包含了关于进程的各种配置和状态信息,例如进程的加载模块信息、堆信息、环境变量、进程参数等。它对于 Windows 内核和系统服务在管理进程时起着关键的作用。

进程环境块(PEB,Process Environment Block)是 Windows 操作系统中用于存储特定进程的相关信息的数据结构。

PEB 包含了有关进程的各种重要信息,例如进程的加载配置信息、映像基地址、命令行参数、环境变量、当前工作目录、已加载模块列表等。它在进程的管理和运行中起着关键作用,操作系统通过访问和更新 PEB 中的信息来控制进程的行为和状态。

需要注意的是,在用户模式下直接访问和修改 PEB 是不被允许的,并且可能导致系统不稳定或出现错误。通常,开发人员会使用 Windows 提供的 API 函数来获取与进程相关的信息,而不是直接操作 PEB 结构。

在网络安全领域的逆向工程和免杀技术中,PEB(进程环境块)可能会被用于以下方面:

1. 检测调试器:通过检查 PEB 中的某些标志或字段,可以判断当前进程是否正在被调试,这对于反调试技术很重要。

2. 分析进程加载的模块:PEB 中包含有关进程已加载模块的信息,可用于了解进程的行为和可能存在的恶意模块。

3. 绕过某些安全检测:恶意软件可能会尝试修改 PEB 中的特定字段来绕过安全软件的检测。

需要强调的是,使用这些技术进行恶意活动是非法和不道德的。在网络安全研究和合法的防御工作中,对这些技术的了解有助于增强系统的安全性和防范恶意攻击。

阿贾克斯的黎明
关注
TEB与PEB结构定位、PE结构导入表与导出表定位
摔不死的笨鸟的博客
08-10 928
TEB定位 PE导入表导出表定位PEB定位到模基址PE定位到导出表PE定位到导入表 对于windows可执行文件的研究与学习,学会TEB PEB结构以及PE结构是必经之路。 PEB定位到模基址 使用Windbg和OD同时分析软件 线程环境 TEB+0X30==PEB ProcessEnvironmentBlock进程环境 三个入口点我们取了第三个...
枚举windows进程的几种方法—PEB内核结构详解
阔野的专栏
11-18 5098
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模(DLL),以及所加载的模的信息(如模基地址,映射文件大小等)。获取这windows进程加载的模信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Windows探究TEB和PEB
qq_30528603的博客
09-03 588
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
windows 反调试相关/peb 结构体
pureman_mega的博客
06-06 152
【代码】windows 反调试相关。
Windows10下的TEB和PEB的分析
塔塔的日记
11-15 1491
TEB:线程环境(Thread Environment Block),PEB进程环境Process Environment Block)。
5.4 Windows驱动开发:内核通过PEB进程参数
CSDN
11-21 6983
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境信息,进程环境内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境则是`fs:[0x18]`,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取。
MyHider.zip_peb_peb隐藏_vad_模隐藏_进程隐藏
07-14
首先,PEBProcess Environment Block)是每个Windows进程的核心结构,它存储了关于进程的重要信息,如进程是否为调试状态、进程的可执行文件路径、加载的模列表等。黑客可以利用PEB来隐藏进程,使其不被系统...
精选_修改指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
这个话题主要涉及如何修改进程PEBProcess Environment Block)结构,从而改变进程的路径和命令行信息,使得进程看起来像是另一个不同的程序。下面将详细介绍这个过程。 首先,PEBWindows操作系统中每个进程都...
171124 逆向-线程环境(TEB)
whklhhhh的博客
11-28 2187
1625-5 王子昂 总结《2017年11月24日》 【连续第420天总结】 A. TEB(线程环境) B. 介绍该结构体中包含进程中运行线程的各种信息,每个线程都对应一个TEB结构体。 不同OS中TEB结构的形态略微不同。定义结构体中有非常多的成员,其中用户模式调试中起着重要作用的成员有两个:+0 NtTib : _NT_TIB ... +0X30 ProcessEnvironmentB
易语言获取“TEB/PEB”结构体成员值数据
06-06
Windows操作系统中,TEB(Thread Environment Block)和PEBProcess Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
软件调试笔记10 - Windows概要:进程结构:令牌,PEB,ID, 句柄
imJaron的博客
11-23 555
访问令牌: TOKEN字段记录着这个进程的TOKEN结构地址,进程很多与安全有关的信息都在这个结构中。找到TOKEN字段值,然后用!Token命令查看。 也可以用dt nt!_TOKEN加上令牌地址来观察令牌对象。 PEBPEB进程环境,包含了进程的大多数用户态信息。与EPROCESS结构位于内核空间的不同,PEB是在内核态建立后映射到用户空间的,因此在一个系统中,
四种方法获取Teb和Peb
QXinHan的博客
12-05 1737
windows-PEB结构
最新发布
记录学习,一起进步
01-02 1061
peb结构指南
Windows进程线程
strongxu的专栏
11-19 783
    EPROCESS进程控制;它代表着Windows的一个进程,“E”表示管理层(Executive)     KPROCESS:它是EPROCESS内部的一个成分,其名称就叫Pcb,所以是核心层进程控制。K表示Kernel    用户空间中与进程有关的数据结构是“进程环境PEBProcess Enviroment Block)。PEB中记录着进程的运行参数,映像装入地址等
枚举Windows进程中模的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1723
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模(DLL),以及所加载的模的信息(如模基地址,映射文件大小等)。获取这windows进程加载的模信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
windows-PEB&TEB
Starr
10-08 827
文章目录结构体BeingDebuggedLdr老版本成员 Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。 MSDN文档给的资料很少,以后练习调试会慢慢补充。 FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB 获取PEB地址: mov eax, dword ptr fs:[30h] 或者...
通过IsDebuggerPesent讲解windows PEB进程环境结构
赫的BLOG
06-05 2674
首先介绍PEB和TEB概念: PEBProcess Environment Block进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 写一个使用Is
windows peb
08-08
PEB (Process Environment Block) 是 Windows 操作系统中的一个数据结构,用于存储进程的运行环境信息。它包含了许多与进程相关的细节,如进程的全局变量、进程堆栈的基地址、命令行参数、环境变量等。 PEB 可以通过访问进程的 TEB (Thread Environment Block) 结构来获取。每个进程都有一个 PEB 结构,而每个线程都有一个 TEB 结构。TEB 结构中的一个字段指向了进程PEB 结构。 PEB 中的一些重要字段包括: - ImageBaseAddress:进程的基地址,即进程加载的模的基地址。 - ProcessParameters:指向一个结构体,其中包含了进程的命令行参数、环境变量等信息。 - Ldr:指向一个结构体,其中包含了加载器相关的信息,如已加载的模列表。 通过访问 PEB 结构,可以获取进程的许多运行时信息,对于一些需要获取进程环境信息的应用场景,PEB 是一个很有用的数据结构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值