Win32 FS:[0xXX]信息

最新推荐文章于 2023-01-28 00:52:06 发布
最新推荐文章于 2023-01-28 00:52:06 发布
阅读量683 收藏
点赞数
分类专栏: WIN32 文章标签: win32 PEB PE 逆向 模块遍历

备忘录–2017-07-24

我正在一个其他进程的虚拟空间中:

0、我应该怎么往这个空间中写数据呢?
1、我应该怎么定位这个空间中与当前进程的相关信息呢?
2、我应该怎么定位我写入的数据呢?

以下内容并不能完全解决所有问题…

FS:[0xXX]:这是维基百科的一些说明

//可以如下使用
void main()
{
    DWORD i = 0;
    __asm
    {
        mov eax, fs:[0x20]
        mov i, eax
    }
    printf("%d", i);
}

PEB(不用点我,没有连接):翻译称进程环境块,看看官网提供的阉割版,看看它实际的样子,具体有什么用,不明,但是也可以从一些字段猜测。今次只是临时保存,还未经测试。测试后补充。

微软阉割版PEB结构体:毕竟是不开源的系统。

PEB结构体导出分享:这是外国朋友收集到的WIN32平台下各个版本的PEB结构说明,无注释。网页版详细,同样是无注释的。

#pragma pack(push)
#pragma pack(1)


template <class T>
struct LIST_ENTRY_T
{
    T Flink;
    T Blink;
};

template <class T>
struct UNICODE_STRING_T
{
    union
    {
        struct
        {
            WORD Length;
            WORD MaximumLength;
        };
        T dummy;
    };
    T _Buffer;
};

template <class T, class NGF, int A>
struct _PEB_T
{
    union
    {
        struct
        {
            BYTE InheritedAddressSpace;
            BYTE ReadImageFileExecOptions;
            BYTE BeingDebugged;
            BYTE _SYSTEM_DEPENDENT_01;
        };
        T dummy01;
    };
    T Mutant;
    T ImageBaseAddress;
    T Ldr;
    T ProcessParameters;
    T SubSystemData;
    T ProcessHeap;
    T FastPebLock;
    T _SYSTEM_DEPENDENT_02;
    T _SYSTEM_DEPENDENT_03;
    T _SYSTEM_DEPENDENT_04;
    union
    {
        T KernelCallbackTable;
        T UserSharedInfoPtr;
    };
    DWORD SystemReserved;
    DWORD _SYSTEM_DEPENDENT_05;
    T _SYSTEM_DEPENDENT_06;
    T TlsExpansionCounter;
    T TlsBitmap;
    DWORD TlsBitmapBits[2];
    T ReadOnlySharedMemoryBase;
    T _SYSTEM_DEPENDENT_07;
    T ReadOnlyStaticServerData;
    T AnsiCodePageData;
    T OemCodePageData;
    T UnicodeCaseTableData;
    DWORD NumberOfProcessors;
    union
    {
        DWORD NtGlobalFlag;
        NGF dummy02;
    };
    LARGE_INTEGER CriticalSectionTimeout;
    T HeapSegmentReserve;
    T HeapSegmentCommit;
    T HeapDeCommitTotalFreeThreshold;
    T HeapDeCommitFreeBlockThreshold;
    DWORD NumberOfHeaps;
    DWORD MaximumNumberOfHeaps;
    T ProcessHeaps;
    T GdiSharedHandleTable;
    T ProcessStarterHelper;
    T GdiDCAttributeList;
    T LoaderLock;
    DWORD OSMajorVersion;
    DWORD OSMinorVersion;
    WORD OSBuildNumber;
    WORD OSCSDVersion;
    DWORD OSPlatformId;
    DWORD ImageSubsystem;
    DWORD ImageSubsystemMajorVersion;
    T ImageSubsystemMinorVersion;
    union
    {
        T ImageProcessAffinityMask;
        T ActiveProcessAffinityMask;
    };
    T GdiHandleBuffer[A];
    T PostProcessInitRoutine;
    T TlsExpansionBitmap;
    DWORD TlsExpansionBitmapBits[32];
    T SessionId;
    ULARGE_INTEGER AppCompatFlags;
    ULARGE_INTEGER AppCompatFlagsUser;
    T pShimData;
    T AppCompatInfo;
    UNICODE_STRING_T<T> CSDVersion;
    T ActivationContextData;
    T ProcessAssemblyStorageMap;
    T SystemDefaultActivationContextData;
    T SystemAssemblyStorageMap;
    T MinimumStackCommit;
};

typedef _PEB_T<DWORD, DWORD64, 34> PEB32;
typedef _PEB_T<DWORD64, DWORD, 30> PEB64;
#pragma pack(pop)

ReactOS:百度百科说明。这是一个克隆winnt的开源操作系统。

ReactOS文档:此处定位到peb__teb.h,可以从此处查看到一些源码信息。

PEB之转存工具:我这下载时显示404,但是作者的说明可以加深理解。

PEB之读取指定进程的环境变量字符串数据:我下下来用了,比如我当前的谷歌浏览器是读不,OD读不了,但是自己写的小程序,execel.exe是可以读的。也许可以提供思路。但是好像有个小问题,它使它读过的进程线程暂停了。

非PEB的一些笔记:涵盖的内容挺多。

PEB一个实际应用:读2.ntdll. 读3kernel32。

2017-7-29:在内存中不使用API而通过PEB遍历模块列表##下载链接

#region---------流程描述
//说明 :
//  1、不展开时为了取得结构体申明的名称,展开为了后续写汇编代码时好处理偏移
//  2、注意字符串是wchar_t类型的,不是char类型
//汇编:
void main()
{
    __asm //只索引主模块,如果要查找其他模块可以进行遍历
    {
        mov eax, fs:[0x30]      //PEB
        mov eax, [eax + 0x0c]   //_PEB_LDR_DATA
        mov eax, [eax + 0x0c]   //InLoadOrderModuleList起点

        mov ecx, [eax]          //跳过第1个模块。我的系统是win10,到这里就到了test_.exe
        mov ecx, [ecx]          //跳过第2个模块。我的系统是win10,到这里就到了ntdll.dll
        mov ecx, [ecx]          //跳过第3个模块。我的系统是win10,到这里就到了kernel32.dll

    #region  //以下应当使用循环,可遍历出所有dll信息
        mov ebx, [eax + 0x18]   //DllBase
        mov ebx, [eax + 0x28]   //FullDllName :完整路径
        mov ebx, [eax + 0x30]   //BaseDllName :文件名
    #endregion //循环遍历可以使用多种方式,例如DllBase=0,或者使用do{}while(主模块地址!=InLoadOrderLinks[0])等;
    }
}

#endregion
tagMatrix4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 中 FS 段寄存器
weixin_34408717的博客
11-06 479
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
FS寄存器资料
syflyhua的专栏
05-23 1488
转自 http://blog.csdn.net/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
[ScyllaHide] 05 ScyllaHide的Hook原理
kinghzking的专栏
12-21 698
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 ScyllaHide的Hook原理 Hook是通过修改程序代码或数据,达到改变程序逻辑的目的。Hook种类很多,ScyllaHide主要使用的是inline hook,也就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。 Hook根据系统版本(
<转>汇编中的fs:[0]
weixin_34290390的博客
06-09 500
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号...
FS:0 FS:[0]之差异
weixin_34062469的博客
09-13 846
FS:0指向线程环境块TEB; FS:[0]指向当前线程的结构化异常处理结构(SEH); FS:0指向TEB的理解应该是: TEB结构存放于FS段从0开始的位置,整个TEB结构数据在FS段中; FS:[0]指向当前线程的结构化异常处理结构的理解应该是: 在FS:0所指向的TEB结构中,第一个元素指向当前线程的结构化异常处理结构,而这个结构存在与DS段中; 部分TE...
FS:0与FS:[0]
Docoocoo的專欄--做酷
06-20 1917
 FS:0指向线程环境块TEB;FS:[0]指向当前线程的结构化异常处理结构(SEH);FS:0指向TEB的理解应该是:TEB结构存放于FS段从0开始的位置,整个TEB结构数据在FS段中;FS:[0]指向当前线程的结构化异常处理结构的理解应该是:在FS:0所指向的TEB结构中,第一个元素指向当前线程的结构化异常处理结构,而这个结构存在与DS段中;部分TEB如下:ntdll!
win32asm FS段寄器
weixin_30832143的博客
09-19 67
.386 .model flat,stdcall option casemap :none include e:\masm32\include\windows.inc include e:\masm32\include\user32.inc includelib e:\masm32\lib\user32.lib include e:\masm32\inclu...
esp_littlefs:用于ESP-IDF的LittleFS端口
02-01
描述中的"esp_littlefs"再次强调了这是为ESP-IDF定制的LittleFS实现,意味着它可能包含了一些针对ESP32芯片特性的优化和适配,以便在ESP32平台上高效地运行。 **标签详解** - "arduino":这表明此项目可能兼容...
esp_littlefs:用于ESP-IDF的LittleFS端口.zip
最新发布
10-11
ESP-IDF是一个强大的框架,专为Espressif Systems的物联网设备如ESP32和ESP8266微控制器设计。这个框架提供了丰富的功能,包括Wi-Fi管理、蓝牙连接、硬件抽象层以及各种组件,便于开发者构建高效能的物联网应用。在...
s3fs:S3 FileSystem(fs.FS)的实现
05-10
s3fs 软件包s3fs为Go1.16接口提供了S3实现。 由于S3是平面结构,因此s3fs通过使用前缀和“ /” delim来模拟目录。 目录上的ModTime始终为零值。 该实现将包装为s3客户端。 const bucket = "my-bucket"s , err := ...
Keil.STM32F0xx_DFP.2.0.0.zip STM32F0XX-Keil5-资源包
09-09
Keil.STM32F0xx_DFP.2.0.0.zip STM32F0XX-Keil5 支持文件包
STM32F0xxx中文手册与STM32F0xxx英文手册
01-15
STM32F0xxx英文手册(带书签).pdf STM32F0xxx中文手册(带书签).pdf STM32F0xxx Cortex-M0.pdf STM32F030.pdf MCU升级_程序区跳转.pdf 在IAR 6.5下如何将数据存放至flash中.pdf 执行硬件设置以及实现低功耗的STM32 GPIO配置.pdf
STM32F429+SFUD+LittleFS实现文件系统文件读写
09-15
单片机使用正点原子的STM32F429核心板,移植了SFUD来驱动spiFlash,移植了LittleFS文件系统,实现官方的demo,每次main运行时更新一个名为boot_count的文件,程序可以在任何时候被中断,而不会丢失它已经启动了多少...
FSCapture-Win10版
10-08
最好用的截图软件之一,之前xp,win7用的时候没毛病,升级到win10后,原来的版本FSCapture因分辨率问题,只能截图到一半,无法截全,后面在网上找了很久,才找到这个9.0绿化版,完美解决了我之前碰到的问题,亲测win...
fs:[0]到底表示什么?fs段寄存器在WINDOWS系统中的作用
热门推荐
CharlesPrince的专栏
04-29 1万+
fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs段寄存器在WINDOWS系统中的作用
Windows内核解析之KPCR结构体和FS:[0]
bcbobo21cn的专栏
01-28 630
Windows内核解析之KPCR结构体和FS:[0];
UNIX套接字“\0XXX“ 格式化抽象本地地址
vegeta852的博客
03-05 447
UNIX套接字"\0XXX" 格式化抽象本地地址 创建AF_UNIX unix套接字,路径名的第一个字节为空字节时,就可以让本地套接口地址成为了格式化抽象本地地址,在路径名中空字节之后的字节才会成为抽象名字的一部分。 int32_t sock = -1; int32_t one = 1; sock = socket(AF_UNIX, SOCK_STREAM | SOCK_CLOEXEC, 0); struct sockaddr_un addr = { .sun_family = AF_UNIX,
【原创】取FS:[0]的一个小技巧
OSReact的专栏
07-12 1115
代码: 004F45A5 > 1E push ds 004F45A6 0FA0 push fs 004F45A8 1F pop ds 004F45A9 33C0 xor eax, eax 004F45AB 8B00 m
fs 的一些参考
12-07 461
经常在r3 下调试经常会看到 mov eax,fs:[18h] ;获取TEP 其实就只指向自己fs:[0] mov eax,[eax+30h] ;获取PEB 这样的语句。 fs段在用户模式(R3)和系统模式(R0)分别指向两个最重要的系统结 构: Ring3: fs --> TEB (Thread Environment Block)结 构表 --> 7FFDE000即“线程环境块”。 Ring0: fs --> KPCR (Kernel
rust std::fs::write
07-27
引用\[1\]:在Rust中,std::fs::write函数用于将数据写入文件。它接受文件路径和要写入的数据作为参数,并返回一个Result类型的结果,表示写入操作是否成功。如果写入成功,返回Ok(()),否则返回Err(io::Error)。引用\[2\]:使用std::fs::write函数非常简单,只需传入文件路径和要写入的数据即可。例如,要将字符串写入文件,可以这样调用:std::fs::write("path/to/file.txt", "Hello, world!")。引用\[3\]:需要注意的是,std::fs::write函数会覆盖目标文件中的内容。如果目标文件不存在,它会创建一个新文件。如果要追加数据而不是覆盖原有内容,可以使用std::fs::OpenOptions来设置文件打开模式为追加模式。 #### 引用[.reference_title] - *1* *2* *3* [Rust小技巧 - 让函数既可接受String或&str,也可以返回String或&str](https://blog.csdn.net/zjuPeco/article/details/124421804)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值