X64-R3层通过PEB获取进程命令行参数

最新推荐文章于 2019-07-04 17:28:00 发布
最新推荐文章于 2019-07-04 17:28:00 发布
阅读量2.2k 收藏 1
点赞数
文章标签: PEB g
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39708161/article/details/79252367
版权
本文介绍了如何在64位环境下,利用PEB(Process Environment Block)结构体来获取进程的命令行参数。通过详细讲解头文件中结构体的定义,以及展示具体的C++实现代码,展示了获取过程。最后,文章列出了运行结果,展示获取命令行参数的成功应用。
摘要由CSDN通过智能技术生成

关于命令行参数


进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用 CreateProcess时,若 applicationname参数为空(大多数情况都为空),则 CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号 "PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述



获取命令行参数by PEB


其实64位与32位通过PEB获取进程信息并无太大区别,这里就当练练手,其余如加载模块,环境变量等值都可以通过这种方法获得,下面上代码:

首先是头文件,一些结构体的定义:(适用于64位)

#pragma once
#include <Windows.h>
#include<ntstatus.h>
#include<iostream>
using namespace std;



#ifdef _WIN64
typedef unsigned long __w64 duint;
typedef signed long __w64   dsint;
#endif // _WIN64

#define RTL_MAX_DRIVE_LETTERS 32

BOOL EnableSeDebugPrivilege(IN const CHAR*  PriviledgeName, BOOL IsEnable);

typedef struct _PROCESS_BASIC_INFORMATION
{
    PVOID Reserved1;
    PVOID PebBaseAddress;
    PVOID Reserved2[2];
    ULONG_PTR UniqueProcessId;
    PVOID Reserved3;
} PROCESS_BASIC_INFORMATION;
typedef PROCESS_BASIC_INFORMATION* PPROCESS_BASIC_INFORMATION;

typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _CURDIR
{
    UNICODE_STRING DosPath;
    HANDLE Handle;
} CURDIR, *PCURDIR;

typedef struct _RTL_DRIVE_LETTER_CURDIR
{
    USHORT Flags;
    USHORT Length;
    ULONG TimeStamp;
    UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;
typedef enum _PROCESSINFOCLASS
{
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
    ProcessBasePriority,
    ProcessRaisePriority,
    ProcessDebugPort,
    ProcessExceptionPort,
    ProcessAccessToken,
    ProcessLdtInformation,
    ProcessLdtSize,
    ProcessDefaultHardErrorMode,
    ProcessIoPortHandlers,          // Note: this is kernel mode only
    ProcessPooledUsageAndLimits,
    ProcessWorkingSetWatch,
    ProcessUserModeIOPL,
    ProcessEnableAlignmentFaultFixup,
    ProcessPriorityClass,
    ProcessWx86Information,
    ProcessHandleCount,
    ProcessAffinityMask,
    ProcessPriorityBoost,
    ProcessDeviceMap,
    ProcessSessionInformation,
    ProcessForegroundInformation,
    ProcessWow64Information,
    ProcessImageFileName,
    ProcessLUIDDeviceMapsEnabled,
    ProcessBreakOnTermination,
    ProcessDebugObjectHandle,
    ProcessDebugFlags,
    ProcessHandleTracing,
    ProcessIoPriority,
    ProcessExecuteFlags,
    ProcessResourceManagement,
    ProcessCookie,
    ProcessImageInformation,
    MaxProcessInfoClass             // MaxProcessInfoClass should always be the last enum
} PROCESSINFOCLASS;

typedef struct _RTL_USER_PROCESS_PARAMETERS
{
    ULONG MaximumLength;
    ULONG Length;

    ULONG Flags;
    ULONG DebugFlags;

    HANDLE ConsoleHandle;
    ULONG ConsoleFlags;
    HANDLE StandardInput;
    HANDLE StandardOutput;
    HANDLE StandardError;

    CURDIR CurrentDirectory;
    UNICODE_STRING DllPath;
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
    PWCHAR Environment;

    ULONG StartingX;
    ULONG StartingY;
    ULONG CountX;
    ULONG CountY;
    UL
最低0.47元/天 解锁文章
EVOL4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
64位进程获取32位进程PEB
SHELLCODE_8BIT的博客
04-20 983
c++ - Get 32bit PEB of another process from a x64 process - Stack Overflow
64位系统应用获取peb
Tommy(凌飞)的专栏
12-06 6238
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取peb的地址。大家不妨试试,直接将
x64进程如何获得wow64进程PEB
lif12345的专栏
07-23 6272
介绍了如何获得wow64进程PEB
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程PEB信息,参考: 测试效果
Windows x64平台 获取PEB表,并获取kernel32.dll的基址,并获取它的函数
MusicMan
05-31 5111
参考了:https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一位博主 话不多说,进入正题: 首先是获取PEB基址,先得懂怎么在64位平台嵌入汇编代码:参考这位博主https://blog.csdn.net/Giser_D/article/details/90670974 汇编代码: .CODE GetPeb PRO...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
使用API NtWow64QueryInformationProcess64 获取进程64位PEB结构地址。使用API NtWow64ReadVirtualMemory64 读取进程64位内存地址的数据。通过PEB64结构进行遍历进程64位模块。对于32位进程,通过 ...
OD插件-SharpOD-x64-v0.6c-beta
03-16
SharpOD_x64_v0.6c_beta 0.6c版本好不容易搜到了,分享下。 里面有ollydbg版本的插件和x64dbg版本的插件。另外,插件只能在64位系统生效。 简要介绍: SharpOD v0.6c 更新日志 1.增加处理 vmp3.5反调试 2.修复...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程中隐藏 DLL。 适用于 x32 和 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7 上...
x64dbg反检测插件2017-1-21版
02-06
总的来说,《x64dbg反检测插件2017-1-21版》是逆向工程和恶意软件分析领域的重要工具,它增强了x64dbg的实用性,使得调试者能够更有效地应对那些具有高度反检测能力的程序,从而推进了软件安全研究的进程
通过PEB遍历进程模块(x64/wow4)
HXD1C6001的博客
11-14 543
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
32位/64位 获得进程peb的方法
HsinTsao的博客
03-05 3271
逐渐将博客园的文章搬到CSDN来吧。基于上一篇文章获取peb结构,大概了解了peb获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程Rea...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5193
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
x64 PEB简介 && 有关PEB的一些函数
XboxMicro
02-18 6739
尽管操作PEB BLOCK现在已经没什么价值了,但是PEB BLOCK作为内核的一个重要结构,这里还是提一下: x64 EPROCESS结构 +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER
R3 x64枚举进程句柄
07-04 297
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
C++ 获取进程PID
RootSuper
12-22 2051
我们可以使用ntddl.dll中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess ( IN HANDLE ProcessHandle, // 进程句柄 IN PROCESSINFOCLASS InformationClass, //
在cmd启动一个win32程序,printf把信息输出到启运它的那个CMD窗口
weixin_30569001的博客
03-05 566
#define ProcessBasicInformation 0 typedef struct { DWORD ExitStatus; DWORD PebBaseAddress; DWORD AffinityMask; DWORD BasePriority; ULONG UniqueProcessId; ULONG Inherite...
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1901
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
如何得到其它进程的启动命令行参数
神经网络爱好者
04-26 1960
如何得到其它进程的启动命令行参数 ILSY:这个程序可以得到其他进程命令行参数。// procmdline.cpp (Windows NT/2000)//// This example shows how to get the command line for almost any process// on the system for Windows NT/2000// //// (c)199
Windows 驱动根据EPROCESS获取进程命令行参数
05-31
获取进程命令行参数可以通过EPROCESS结构体中的Peb成员实现。具体来说,可以使用PsLookupProcessByProcessId函数获取EPROCESS结构体指针,然后通过Peb成员获取PEB结构体指针,最后通过PEB结构体中的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值