peb获取进程加载模块

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量305 收藏 1
点赞数
分类专栏: Reverse
原文链接:https://blog.csdn.net/BetaBin/article/details/7481949
版权
  • 重要结构体
typedef struct _PEB { // Size: 0x1D8
/*000*/ UCHAR InheritedAddressSpace;
/*001*/ UCHAR ReadImageFileExecOptions;
/*002*/ UCHAR BeingDebugged;
/*003*/ UCHAR SpareBool; // Allocation size
/*004*/ HANDLE Mutant;
/*008*/ HINSTANCE ImageBaseAddress; // Instance
/*00C*/ VOID *DllList;  //_PEB_LDR_DATA        ;进程加载的模块链表
/*010*/ PPROCESS_PARAMETERS *ProcessParameters;
/*014*/ ULONG SubSystemData;
/*018*/ HANDLE DefaultHeap;
/*01C*/ KSPIN_LOCK FastPebLock;
/*020*/ ULONG FastPebLockRoutine;
/*024*/ ULONG FastPebUnlockRoutine;
/*028*/ ULONG EnvironmentUpdateCount;
/*02C*/ ULONG KernelCallbackTable;
/*030*/ LARGE_INTEGER SystemReserved;
/*038*/ ULONG FreeList;
/*03C*/ ULONG TlsExpansionCounter;
/*040*/ ULONG TlsBitmap;
/*044*/ LARGE_INTEGER TlsBitmapBits;
/*04C*/ ULONG ReadOnlySharedMemoryBase;
/*050*/ ULONG ReadOnlySharedMemoryHeap;
/*054*/ ULONG ReadOnlyStaticServerData;
/*058*/ ULONG AnsiCodePageData;
/*05C*/ ULONG OemCodePageData;
/*060*/ ULONG UnicodeCaseTableData;
/*064*/ ULONG NumberOfProcessors;
/*068*/ LARGE_INTEGER NtGlobalFlag; // Address of a local copy
/*070*/ LARGE_INTEGER CriticalSectionTimeout;
/*078*/ ULONG HeapSegmentReserve;
/*07C*/ ULONG HeapSegmentCommit;
/*080*/ ULONG HeapDeCommitTotalFreeThreshold;
/*084*/ ULONG HeapDeCommitFreeBlockThreshold;
/*088*/ ULONG NumberOfHeaps;
/*08C*/ ULONG MaximumNumberOfHeaps;
/*090*/ ULONG ProcessHeaps;
/*094*/ ULONG GdiSharedHandleTable;
/*098*/ ULONG ProcessStarterHelper;
/*09C*/ ULONG GdiDCAttributeList;
/*0A0*/ KSPIN_LOCK LoaderLock;
/*0A4*/ ULONG OSMajorVersion;
/*0A8*/ ULONG OSMinorVersion;
/*0AC*/ USHORT OSBuildNumber;
/*0AE*/ USHORT OSCSDVersion;
/*0B0*/ ULONG OSPlatformId;
/*0B4*/ ULONG ImageSubsystem;
/*0B8*/ ULONG ImageSubsystemMajorVersion;
/*0BC*/ ULONG ImageSubsystemMinorVersion;
/*0C0*/ ULONG ImageProcessAffinityMask;
/*0C4*/ ULONG GdiHandleBuffer[0x22];
/*14C*/ ULONG PostProcessInitRoutine;
/*150*/ ULONG TlsExpansionBitmap;
/*154*/ UCHAR TlsExpansionBitmapBits[0x80];
/*1D4*/ ULONG SessionId;
} PEB, *PPEB;

typedef struct _PEB_LDR_DATA
{
 ULONG Length; // +0x00
 BOOLEAN Initialized; // +0x04
 PVOID SsHandle; // +0x08
 LIST_ENTRY InLoadOrderModuleList; // +0x0c
 LIST_ENTRY InMemoryOrderModuleList; // +0x14
 LIST_ENTRY InInitializationOrderModuleList;// +0x1c
} PEB_LDR_DATA,*PPEB_LDR_DATA; // +0x24

typedef struct _LDR_DATA_TABLE_ENTRY  
{  
    LIST_ENTRY InLoadOrderLinks;  // +0x00
    LIST_ENTRY InMemoryOrderLinks;  //+0x08
    LIST_ENTRY InInitializationOrderLinks; //+0x10 
    PVOID DllBase;  // +0x18
    PVOID EntryPoint;  //+0x1c
    DWORD SizeOfImage;  //+0x20
    UNICODE_STRING FullDllName;	// +0x24  
    UNICODE_STRING BaseDllName;  // +0x2c
    DWORD Flags;  
    WORD LoadCount;  
    WORD TlsIndex;  
    LIST_ENTRY HashLinks;  
    PVOID SectionPointer;  
    DWORD CheckSum;  
    DWORD TimeDateStamp;  
    PVOID LoadedImports;  
    PVOID EntryPointActivationContext;  
    PVOID PatchInformation;  
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY; 
typedef struct _LSA_UNICODE_STRING
{
	USHORT Length;
	USHORT MaximumLength;
	PWSTR Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICODE_STRING;
USHORT:2 Bytes
typedef struct _LIST_ENTRY
{
	struct _LIST_ENTRY *Flink;
	struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY;
  • ShellCode
//find base addr of kernel32.dll

//fs:[0]--> TEB
//fs:[30]--> PEB
//[PEB+0c]--> Ldr(ptr32 _PEB_LDR_DATA)
//[Ldr+1c]--> InInitializationOrderModuleList(LIST_ENTRY)
//[LIST_ENTRY] = second_LIST_ENTRY
//[second_LIST_ENTRY] = third_LIST_ENTRY
//[third_LIST_ENTRY+0x8]-->kernel32 module base address
xor edx, edx
mov ebx, fs:[edx + 0x30]//PEB
mov ecx, [ebx + 0x0c]//ldr
mov ecx, [ecx + 0x1c]//IninitializationOrderModuleList
mov ecx, [ecx]//ntdll
mov ecx, [ecx]//kernel base
mov ebp, [ecx + 0x08]//kernel32
AlwaysBetter
关注
专栏目录
PEBPEB_LDR_DATA结构
BetaBin
04-20 1万+
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2321
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
PEB获取内存中模块列表
weixin_34100227的博客
06-24 306
PEB中的Ldr部分包含有当前进程加载模块信息. lkd> dt _peb ntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +...
【旧文章搬运】从PEB获取内存中模块列表
weixin_30361641的博客
12-26 119
原文发表于百度空间,2008-7-25========================================================================== PEB中的Ldr部分包含有当前进程加载模块信息.lkd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadI...
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 1669
我们常常通过很多方法来获取进程模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
DIB-PEB模块
perfectzxiny的博客
03-27 351
Dynamic Item Block and Prediction Enhancing Block for Sequential Recommendation 1. Introduction (1)简介: 近年来,基于神经网络的模型迅速成为第三类用户偏好模型。他们可以通过递归神经网络(RNN) ,卷积神经网络(CNN)及其记忆变体。我们的工作遵循第三个方向,为顺序推荐设计一个端到端的神经模型。然而,现有的神经序列模型有两个局限性,这可能会严重降低序列推荐的性能。首先,一个项目的表示对于所有用户来说是相对静态
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5128
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1294
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
获取其他进程加载模块的详细信息
darthas的专栏
10-10 3118
用CreateToolhelp32Snapshot传TH32CS_SNAPMODULE也可枚举模块信息,得到MODULEENTRY32 结构,但是MODULEENTRY32 比较简单,只有基地址和大小等信息,EntryPoint、LoadCount等信息都没有,这些信息在另一个结构LDR_DATA_TABLE_ENTRY中,wrk中多次引用了这个结构,并且用这种方法调试时也能手动遍历模块列表。
PEB-DLL.zip打印exe运行时加载的所有dll模块地址以及模块名称
最新发布
08-20
PEB_DLL.zip打印exe运行时加载的所有dll模块地址以及模块名称PEB_DLL.zip打印exe运行时加载的所有dll模块地址以及模块名称PEB_DLL.zip打印exe运行时加载的所有dll模块地址以及模块名称 void printAllDLLModule(){ ...
PEB隐藏模块
09-03
PEB隐藏模块PEB
追踪PEB流程
07-29
文档分两部分,第一部分是使用windbg获得模块列表的实时记录,第二部分是通过汇编根据windbg记录的信息获取模块列表源码。
php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息
weixin_35817602的博客
03-19 435
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
32位 64位 获得进程peb的方法
aijuzhou1959的博客
02-14 540
基于上一篇文章,大概了解了peb获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1074
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3200
PEB进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1552
    #include "stdafx.h" #include <stdlib.h> #include <Windows.h> #include <Ntsecapi.h>    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
PEB结构----枚举用户模块列表(图)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 2098
本文在主主要以上述两篇文章为基础,对PEB的结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。   本文主要分为四个部分,第一部分说明PEB地址如何获得;第二部分说明PEB的框架结构;第三部对PEB中的List-Entry结构进行了详细剖析,第四部分给出了枚举用户模块列表的代码。   -----------------------
PEB隐藏模块技术解析
其中,LDR_DATA_TABLE_ENTRY是PEB中用于管理已加载模块(包括DLL)的数据结构,它包含每个模块的基地址、大小、加载状态等信息。 `HideDllFromPEB`函数的目标是在PEB模块链表中隐藏指定的DLL。这个函数接受两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值