Windows探究TEB和PEB

最新推荐文章于 2024-08-12 23:20:30 发布
最新推荐文章于 2024-08-12 23:20:30 发布
阅读量655 收藏 1
点赞数 1
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/132656721
版权

TEB(Thread Environment Block)是线程环境块。而PEB(Process Environment Block)是进程环境块。我们知道在一个进程中有多个线程。因此每一个线程都对应一个线程环境块,而一个进程也对应有一个进程环境块。

TEB在在操作系统中是用一个结构体标识的,以下是我调试Windows10查看的TEB:

这个结构体非常大,我只截取了部分信息。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。

ProcessEnvionmentBlock这个成员是指向PEB的。属于同一个进程的线程这个值是一样的,因此比较重要。在x86模式下FS寄存器是指向当前线程的TEB结构体的。而在x64模式下不再使用FS寄存器而是改用GS寄存器,一会我们通过实验来验证这个问题。下面我们用一个程序来试验一下:

#include<windows.h>
#include<stdio.h>
//x86模式
int main() {
	HANDLE a;
	a = GetProcessHeap();
	printf("%p\n", a);
	HANDLE ret1;
	_asm
	{	push eax
		mov eax, fs: [00000030h]
		mov eax, [eax + 00000018h]
		mov ret1, eax
		pop eax

	}
	printf("%p", ret1);

	return 0;
}

这是在x86模式下运行的一段程序。输出是这样的:

GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。

由于我调试的是64位的win10,因此我们做下x64的实验,在x64模式下我们跟进GetProcessHeap函数的实现:

我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。

我们看看win10 x64下的PEB结构体:

这个结构体也很大,我们只截取部分,看到偏移30的位置是ProcessHeap。这个成员就是进程堆的句柄。返回这个成员的值也就是ProcessHeap函数的返回值。通过x86以及x64模式下TEB,PEB的探究,我们大致了解了这两个结构体。也清晰了两个模式下指向他们的寄存器分别是fs,以及gs。

Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3430
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5194
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
TEBPEB
xuqi7
06-26 563
TEBPEB
Windows逆向之PEB(Process Environment Block,进程环境块)
最新发布
m0_57836225的博客
08-12 644
需要注意的是,在用户模式下直接访问和修改 PEB 是不被允许的,并且可能导致系统不稳定或出现错误。通常,开发人员会使用 Windows 提供的 API 函数来获取与进程相关的信息,而不是直接操作 PEB 结构。需要强调的是,使用这些技术进行恶意活动是非法和不道德的。在网络安全研究和合法的防御工作中,对这些技术的了解有助于增强系统的安全性和防范恶意攻击。进程环境块(PEB,Process Environment Block)是 Windows 操作系统中用于存储特定进程的相关信息的数据结构。
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1576
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
TEB PEB
Tan小白的日常
04-24 240
PEB typedef struct _PEB { UCHAR InheritedAddressSpace; // 00h UCHAR ReadImageFileExecOptions; // 01h UCHAR BeingDebugged; // 02h UCHAR Spare; // 03h PVOID Mutant; // 04h PVOID
从DbgView探究Windows内存管理笔记
0xDQ的博客
04-29 903
0x00 前言 讲内存管理单纯的理论比较空洞,所以本文从探究DebugVeiw的内存分布开始,来探究windows系统的内存管理。 因为windows内存管理使用的是二叉树来实现的,所以在开始探究之前,可以先去了解二叉树这一数据结构。 ...
shellcode编写探究
hongduilanjun的博客
07-21 1104
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
由一道CTF对10种反调试的探究
0xDQ的博客
04-23 2010
0x00 前言 最近做的有些ctf中总是出现一些反动态调试的情况。由次对一些常见的反动态调试进行一些总结。 参考文章: https://blog.csdn.net/hgy413/article/details/7996652https://blog.csdn.net/yiyefangzhou24/article/details/6242459https://www.52pojie.cn/th...
深入理解和使用Windows NT驱动程序的执行上下文(一)
人是会思考的一棵苇草
11-01 1939
深入理解和使用Windows NT驱动程序的执行上下文原作:Open System Resources,Inc.编译:codewarrior@fudan cse 要理解Windows NT驱动程序,最重要的概念之一就是驱动程序执行时的所处的“执行上下文”(Execution Context)。深入理解这个概念,并小心地应用你所掌握的关于它的知识,可以帮助你编写更快速高效的驱动程序。
TEBPEB学习记录(一)
QXinHan的博客
11-07 629
TEBPEB的学习记录
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 396
首先介绍PEBTEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
windows-PEB&TEB
Starr
10-08 860
文章目录结构体BeingDebuggedLdr老版本成员 Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。 MSDN文档给的资料很少,以后练习调试会慢慢补充。 FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB 获取PEB地址: mov eax, dword ptr fs:[30h] 或者...
8.1 TEBPEB概述
CSDN
09-25 7824
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境块`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境块`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB中包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
PEBTEB资料整合
weixin_30591551的博客
01-07 378
一、概念   TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的...
TEBPEB的知识复习
小渣渣的博客
06-06 2270
fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.
TEBPEB 、SEH
墨鱼菜鸡
09-09 120
TEBPEB再到SEH(一)从TEBPEB再到SEH(二)
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
windows peb
08-08
PEB (Process Environment Block) 是 Windows 操作系统中的一个数据结构,用于存储进程的运行环境信息。它包含了许多与进程相关的细节,如进程的全局变量、进程堆栈的基地址、命令行参数、环境变量等。 PEB 可以通过访问进程的 TEB (Thread Environment Block) 结构来获取。每个进程都有一个 PEB 结构,而每个线程都有一个 TEB 结构。TEB 结构中的一个字段指向了进程的 PEB 结构。 PEB 中的一些重要字段包括: - ImageBaseAddress:进程的基地址,即进程加载的模块的基地址。 - ProcessParameters:指向一个结构体,其中包含了进程的命令行参数、环境变量等信息。 - Ldr:指向一个结构体,其中包含了加载器相关的信息,如已加载的模块列表。 通过访问 PEB 结构,可以获取进程的许多运行时信息,对于一些需要获取进程环境信息的应用场景,PEB 是一个很有用的数据结构。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值