windbg获取TEB(线程环境块)信息

最新推荐文章于 2023-11-08 18:05:53 发布
最新推荐文章于 2023-11-08 18:05:53 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 32位汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/102711275
版权

windbg下载安装配置符号路径

如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10 sdk中下载 链接:https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive
在这里插入图片描述
下载后会有x86和64位两个版本,两个版本都要配置符号路径,否则只能使用一个版本
快捷键 ctrl+s弹出符号路径配置,路径写上:srvd:\symbolslocalhttp://msdl.microsoft.com/download/symbols**,这样如果相关符号表在d:\symbolslocal目录没有找到的话,Windbg会自动在Microsoft的Symbol Servers上下载
注意两个版本,路径修改一下盘符就可以了 ,这样路径就不一样,两个版本就可以用了

安装好以后现在通过TEB获取获取模块信息

设计思路

1利用微软提供的windbg找到不同线程对应的信息结构体,拿到相关信息
MASM中默认是fs:error,也就是默认不能使用fs段寄存器,因此要在masm中使用它时必须先assume fs:nothing。fs 段寄存器初始化后,指向当前活动线程的_TEB结构(线程结构),即_TEB首地址

2通过加30的位置拿到PEB结构体mov eax, fs:[30h]
在这里插入图片描述
3拿到通过PEB拿到_PEB_LDR_DATA的结构体
在这里插入图片描述
4通过_PEB_LDR_DATA拿到保存模块信息结构体的链表_LIST_ENTRY(有按3种不同方式排列的链表)
在这里插入图片描述
5_LIST_ENTRY实际指向的结构体类型是拿到模块信息(注意不同链表内的指针取内容拿到取的是结构体不同的位置)
在这里插入图片描述
结构体链表结构如下(和c语言一样):
在这里插入图片描述

示例代码

InjectCode:
assume fs :nothing
    mov  eax, fs:[30h]   ;拿到_PEB,注意这里要使用fs段前缀
    mov  eax, [eax+0Ch]  ;拿到_PEB_LDR_DATA
    lea  eax, [eax+1ch]  ;获取inInitializationOrderModuleList的地址
    mov  ebx, [eax];	 ;获取_LIST_ENTRY结构体指针实际是_PEB_LDR_DATA指针
    mov  ecx, ebx
LOOP1:;遍历链表查找想要的dll
    mov eax, [ebx+8h]    ;拿到模块基址MoudleBase
    mov edx, [ebx+20h]   ;拿到模块名,如果根据的是InLoadOrderLinks获取则实际位置是30,但是我用的InInitializationOrderLinks,所以从1030的位置偏移20就可以了 
    mov dl,  [edx+0ch]
    cmp dl, 33h          ;比较第6位是不是字符3
    jz  LOOP_END
    mov ebx, [ebx]       ;将指针指向下一个模块
    ;cmp ebx, ecx        ;循环结束,则跳出循环
    jmp LOOP1            
LOOP_END:
    add eax,12345678h    ;拿到LoadLibraryA的地址,这里写12345678只是开辟一个位置放实际的位置,程序注入之前会进行重定位地址,这和以前一样
    push 0000796dh       ;设置dll名为my
    push esp       
    call eax             ;调用LoadLibraryA加载dll
    
    add eax,1000h        ;拿到隐藏函数起始地址
    call eax             ;调用自动隐藏函数
    
    add esp,4h           ;平局部变量
    retn 4               ;平栈

DLL隐藏

通过断开线程信息中的3个链表结构体中自己DLL链表的位置,实现dll隐藏,因为加载dll就是从_PEB_LDR_DATA结构中的链表遍历加载dll的

;dll自隐
HideMyDll proc
;断开inInitializationOrderModuleList中的链表线
    LOCAL @dwCurrent:dword
    LOCAL @dwLast:dword
    LOCAL @dwNext:dword

assume fs :nothing
    mov  eax, fs:[30h]   ;拿到_PEB
    mov  eax, [eax+0Ch]  ;拿到_PEB_LDR_DATA
    lea  eax, [eax+1ch]  ;根据inInitializationOrderModuleList
    mov  ebx, [eax];
    mov  ecx, ebx
LOOP1:
    mov eax, [ebx+8h]    ;拿到模块基址MoudleBase
    mov edx, [ebx+20h]   ;拿到模块名
    mov edx, [edx]       ;拿到前面几个字符
    cmp edx, 0079006dh   ;比较开头是不是my
    jz  LOOP1_END
    mov ebx, [ebx]       ;将指针指向下一个模块
    jmp LOOP1     
LOOP1_END:
    mov @dwCurrent,ebx   ;保存一下当前链表的基址
    
    ;修改ModuleList链表
    mov eax,ebx
    lea eax,[eax+4]      ;拿到当前下一个的地址    
    mov ebx,[eax]        
    mov @dwLast,ebx      ;保存后一个链表的起始地址
    
    mov eax,@dwCurrent
    mov eax,[eax]
    mov @dwNext,eax      ;保存上一个链表的起始地址
    add eax,4  
    mov ebx,@dwLast        
    mov dword ptr [eax],ebx  ;修改上一个链表的下一个地址
    
    mov eax,@dwNext
    mov [ebx],eax
    
    ;修改LoadOrderLinks链表
    sub @dwCurrent,10h
    mov eax,@dwCurrent
    
    lea eax,[eax+4]      ;拿到当前下一个的地址    
    mov ebx,[eax]        
    mov @dwLast,ebx      ;保存后一个链表的起始地址
    
    mov eax,@dwCurrent
    mov eax,[eax]
    mov @dwNext,eax      ;保存上一个链表的起始地址
    add eax,4  
    mov ebx,@dwLast        
    mov dword ptr [eax],ebx  ;修改上一个链表的下一个地址
    
    mov eax,@dwNext
    mov [ebx],eax
    
    ;修改InMemoryOrderLinks链表
    add @dwCurrent,8h
    mov eax,@dwCurrent
    
    lea eax,[eax+4]      ;拿到当前下一个的地址    
    mov ebx,[eax]        
    mov @dwLast,ebx      ;保存后一个链表的起始地址
    
    mov eax,@dwCurrent
    mov eax,[eax]
    mov @dwNext,eax      ;保存上一个链表的起始地址
    add eax,4  
    mov ebx,@dwLast        
    mov dword ptr [eax],ebx  ;修改上一个链表的下一个地址
    
    mov eax,@dwNext
    mov [ebx],eax
    
    ret
HideMyDll endp
code_greenhand
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用windbg调试进程线程数据结构
05-13
当学习windows驱动开发的入门者,经常使用windbg调试,进线程在驱动调试中占有很大的比重,初学者阅读这本pdf绝对是有帮助的!
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
windbg调试命令6(!peb、!teb)
v5browser
04-12 251
PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序的时候,了解PEB和TEB往往对分析很有...
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 371
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
Windows10下的TEB和PEB的分析
塔塔的日记
11-15 1413
TEB线程环境(Thread Environment Block),PEB是进程环境(Process Environment Block)。
Windows探究TEB和PEB
qq_30528603的博客
09-03 558
在x86模式下FS寄存器是指向当前线程TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
7.windbg搭建双机调试环境.mp4
09-10
windows x64位驱动程序开发 7.windbg搭建双机调试环境
最新版WinDbg离线安装包
11-07
最新版WinDbg离线安装包
IP-Guard获取进程的调试信息for Windbg.pdf
11-28
《使用IP-Guard获取进程调试信息Windbg操作详解》 在计算机科学领域,尤其是在软件开发和系统故障排查中,调试是一项至关重要的任务。本文将详细介绍如何利用IP-Guard配合Windbg工具获取进程的调试信息,这对于...
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3230
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模基址,经过一系列的结构体偏移得到模初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
【调试技术】用户态查看PEB和TEB
此地无银
11-03 479
概述:用户态查看进程 PEB 和 TEB(通过windbg附加或启动调试的exe)
TEB PEB
星仔的“韵”
06-05 1065
前几天在找资料的时候发现一些有趣的东西,是线程TEB和进程的PEB结构,在好奇心下,稍微学习了下,从而得到了一种获取当前进程名的方法。先把代码贴上来。 #include "windows.h" #include "stdio.h" int main(void) { LPSTR name; __asm{ mov eax,fs:[0x18] mov eax,[eax+0x30] m
浅谈一下FS段寄存器在用户层和内核层的使用
dog0230的博客
05-10 320
菜鸟一枚,有一段时间不搞内核了,分享一下以前学习的结果,有不对的地方请各位指点,大牛飘过~~ 在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30。分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0...
DLL隐藏和逆向
最新发布
m0_75243362的博客
11-08 1697
DLL注入新手详解示例
[Rootkit] dll 隐藏 - VAD
LYSM
06-10 1983
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种检测,下面会详细介绍隐藏的细节原理和操作方法! 1、VAD 虚拟内存管理 内存分两种:物理内存和虚拟内存;操作系统和进程共享物理内存,进程独享虚拟内存;物理内存可以通过CR3在进程之间互相隔离,确保进程之间互不侵犯;那么进程内部的虚拟地址该怎么管理了? 32位下,每个进程独享4GB内存,怎
DLL隐藏技术(抹链)
热门推荐
Arbboter的专栏
07-29 1万+
#include "HideDLL.h" #include DWORD g_dwImageSize = 0; VOID* g_lpNewImage = NULL; /************************************************************************/ /* 把当前进程的所有DLL都使用LoadLibrary再次加载一边,增加引用计
进程中dll模的隐藏
xjh_Love_paopao的专栏
07-21 1519
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模信息,使得Toolhelp、psapi等枚举模的API无法枚举它。        我们可以先简单看看Windows枚举进程内模的办法吧:  
LDR链调试手记(TEB获取动态函数地址)
SauceJ的专栏
09-28 2390
转自看雪 LDR链调试手记    无论是编写ShellCode还是外壳程序,都需要动态的获取各个api的实际地址,最通用的方法之一,莫过于通过得到各个DLL模的基址,再遍历其导出表。其中,获得各个模基址中,通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结,于是就有了这一篇手记。
进程内线程入口的探究
IT男也疯狂
05-27 2271
由于要写个检测功能,对于这进行了下探究。 线程的常规启动有2种: 1、Createthread方式 ,纯win api的方法 2、_beginthreadex方式,这是VC中安全使用线程的方法 下面给出DEMO代码: #include #include unsigned int __stdcall DemoThread1(PVOID p){ while (1) { pri
windbg 查看所有线程
05-30
要在 Windbg 中查看所有线程,可以使用如下命令: ``` ~* ``` 该命令会列出所有线程的编号、状态和调用堆栈等信息。其中,`~` 表示选择线程,`*` 表示所有线程。例如,以下是列出所有线程的示例输出: ``` 0 Id: 15b0.1d98 Suspend: 1 Teb: 7ffde000 Unfrozen 1 Id: 15b0.1f68 Suspend: 1 Teb: 7ffdc000 Unfrozen 2 Id: 15b0.1f6c Suspend: 1 Teb: 7ffda000 Unfrozen 3 Id: 15b0.1f70 Suspend: 1 Teb: 7ffd8000 Unfrozen 4 Id: 15b0.1f74 Suspend: 1 Teb: 7ffd6000 Unfrozen 5 Id: 15b0.1f78 Suspend: 1 Teb: 7ffd4000 Unfrozen 6 Id: 15b0.1f7c Suspend: 1 Teb: 7ffd2000 Unfrozen 7 Id: 15b0.1f80 Suspend: 1 Teb: 7ffd0000 Unfrozen 8 Id: 15b0.1f84 Suspend: 1 Teb: 7ffce000 Unfrozen 9 Id: 15b0.1f88 Suspend: 1 Teb: 7ffcc000 Unfrozen 10 Id: 15b0.1f8c Suspend: 1 Teb: 7ffca000 Unfrozen 11 Id: 15b0.1f90 Suspend: 1 Teb: 7ffc8000 Unfrozen 12 Id: 15b0.1f94 Suspend: 1 Teb: 7ffc6000 Unfrozen 13 Id: 15b0.1f98 Suspend: 1 Teb: 7ffc4000 Unfrozen 14 Id: 15b0.1f9c Suspend: 1 Teb: 7ffc2000 Unfrozen 15 Id: 15b0.1fa0 Suspend: 1 Teb: 7ffc0000 Unfrozen 16 Id: 15b0.1fa4 Suspend: 1 Teb: 7ffbe000 Unfrozen 17 Id: 15b0.1fa8 Suspend: 1 Teb: 7ffbc000 Unfrozen 18 Id: 15b0.1fac Suspend: 1 Teb: 7ffba000 Unfrozen 19 Id: 15b0.1fb0 Suspend: 1 Teb: 7ffb8000 Unfrozen 20 Id: 15b0.1fb4 Suspend: 1 Teb: 7ffb6000 Unfrozen 21 Id: 15b0.1fb8 Suspend: 1 Teb: 7ffb4000 Unfrozen 22 Id: 15b0.1fbc Suspend: 1 Teb: 7ffb2000 Unfrozen 23 Id: 15b0.1fc0 Suspend: 1 Teb: 7ffb0000 Unfrozen 24 Id: 15b0.1fc4 Suspend: 1 Teb: 7ffae000 Unfrozen 25 Id: 15b0.1fc8 Suspend: 1 Teb: 7ffac000 Unfrozen 26 Id: 15b0.1fcc Suspend: 1 Teb: 7ffaa000 Unfrozen 27 Id: 15b0.1fd0 Suspend: 1 Teb: 7ffa8000 Unfrozen 28 Id: 15b0.1fd4 Suspend: 1 Teb: 7ffa6000 Unfrozen 29 Id: 15b0.1fd8 Suspend: 1 Teb: 7ffa4000 Unfrozen 30 Id: 15b0.1fdc Suspend: 1 Teb: 7ffa2000 Unfrozen 31 Id: 15b0.1fe0 Suspend: 1 Teb: 7ffa0000 Unfrozen 32 Id: 15b0.1fe4 Suspend: 1 Teb: 7ff9e000 Unfrozen 33 Id: 15b0.1fe8 Suspend: 1 Teb: 7ff9c000 Unfrozen 34 Id: 15b0.1fec Suspend: 1 Teb: 7ff9a000 Unfrozen 35 Id: 15b0.1ff0 Suspend: 1 Teb: 7ff98000 Unfrozen 36 Id: 15b0.1ff4 Suspend: 1 Teb: 7ff96000 Unfrozen 37 Id: 15b0.1ff8 Suspend: 1 Teb: 7ff94000 Unfrozen 38 Id: 15b0.1ffc Suspend: 1 Teb: 7ff92000 Unfrozen 39 Id: 15b0.2000 Suspend: 1 Teb: 7ff90000 Unfrozen 40 Id: 15b0.2004 Suspend: 1 Teb: 7ff8e000 Unfrozen 41 Id: 15b0.2008 Suspend: 1 Teb: 7ff8c000 Unfrozen 42 Id: 15b0.200c Suspend: 1 Teb: 7ff8a000 Unfrozen 43 Id: 15b0.2010 Suspend: 1 Teb: 7ff88000 Unfrozen 44 Id: 15b0.2014 Suspend: 1 Teb: 7ff86000 Unfrozen 45 Id: 15b0.2018 Suspend: 1 Teb: 7ff84000 Unfrozen 46 Id: 15b0.201c Suspend: 1 Teb: 7ff82000 Unfrozen 47 Id: 15b0.2020 Suspend: 1 Teb: 7ff80000 Unfrozen ``` 其中,`Id` 列显示线程的编号,`Suspend` 列显示线程是否被挂起,`Teb` 列显示线程环境的地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值