TEB和PEB的知识复习

最新推荐文章于 2023-12-05 00:31:33 发布
最新推荐文章于 2023-12-05 00:31:33 发布
阅读量2.2k 收藏 4
点赞数 1
分类专栏: PE相关知识 文章标签: 结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012486112/article/details/51597410
版权

PEB(Process Environment Block,进程环境块):存放进程信息,准确的PEB地址应该从系统的EXPROCESS结构的0x1b0偏移出获得,但这个结构位于系统地址空间,访问 需要 ring0权限,所以一般通过TEB结构的偏移0x30处获取PEB.

   获取peb代码:mov eax, fs:[0x30]  

         mov PEB, eax

TEB(Thread Environment Block,线程环境块): 存放线程信息,位于用户地址空间,进程中的每个线程都有自己的一个TEB.通过fs寄存器来访问,一般储存在fs:[0].

1. PEB:

使用windbg查看peb:

1)!peb (注意:使用!peb只能看到重要成员信息,但是可以看到它的起始地址.)


2)dt 7efde000 _peb (注意:使用dt _peb 能看到所有成员信息,但是看不到它的起始地址.)


通过以上输出结果,可以获得进程:

ImageBaseAddress 程序加载的基地址, 

ProcessHeap 堆起始地址

BeingDebuggedDebug 运行标志

等等信息.

知识点:

... peb + 0xc ldr  ==> _PEB_LDR_DATA  // 可执行文件的装载信息.

... 使用dt 查看ldr.


... 查看LDR_MODULE结构


... 链表节中的Frist,Next.


以上是PEB中一些重要的信息.


2.TEB:

使用windbg查看teb

1)!teb  (查看teb所有重要成员)


2)dt 7efdd000 _teb  (查看teb所有成员) 

        fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.


TEB各偏移说明:

0x0: 指向SEH链指针

0x4: 线程堆栈顶部

0x8: 线程堆栈底部

0x18: 指向TEB自身

0x30:  PEB结构地址









jay52016
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TEBPEB结构定位、PE结构导入表与导出表定位
摔不死的笨鸟的博客
08-10 926
TEB定位 PE导入表导出表定位PEB定位到模块基址PE定位到导出表PE定位到导入表 对于windows可执行文件的研究与学习,学会TEB PEB结构以及PE结构是必经之路。 PEB定位到模块基址 使用Windbg和OD同时分析软件 线程环境块 TEB+0X30==PEB ProcessEnvironmentBlock进程环境块 三个入口点我们取了第三个...
PEB TEB结构体使用
左手
08-02 4789
PEB TEB结构体属于windows平台进程的一个重要数据结构,使用windbg查看结构体信息及相关结构体成员信息的利用
TEBPEB
xuqi7
06-26 546
TEBPEB
TEB PEB
Tan小白的日常
04-24 230
PEB typedef struct _PEB { UCHAR InheritedAddressSpace; // 00h UCHAR ReadImageFileExecOptions; // 01h UCHAR BeingDebugged; // 02h UCHAR Spare; // 03h PVOID Mutant; // 04h PVOID
PEB and TEB PEB and TEB(A-Z)
波波诸葛伟
01-08 514
PEB and TEB PEB and TEB PEB = Process Environment Block –basic image information (base address, version numbers, module list) –process heap information –environment variables –command-line parame
Windows探究TEBPEB
qq_30528603的博客
09-03 581
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
易语言获取TEB/PEB结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
teb_local_planner_tutorials-kinetic_teb完整机器人_ROS_TEB路径_
09-29
在"teb_local_planner_tutorials-kinetic_teb"这个包中,包含了针对ROS Kinetic版本的Teb Local Planner的教程和示例。Kinetic是ROS的一个发行版,提供了稳定且广泛支持的软件库,适合作为开发平台。 1. **基本概念...
TEB_DWA.rar
05-24
本压缩包“TEB_DWA.rar”包含了对两种广泛使用的局部路径规划算法——时间最优边距(Time-Optimal Boundary (TEB))和动态窗口方法(Dynamic Window Approach (DWA))的深入研究。以下是对这两种算法的详细说明: 1...
PEBTEB资料整合
weixin_30591551的博客
01-07 363
一、概念   TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的...
TEBPEB学习记录(一)
QXinHan的博客
11-07 559
TEBPEB的学习记录
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1479
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
TEBPEB 、SEH
墨鱼菜鸡
09-09 112
TEBPEB再到SEH(一)从TEBPEB再到SEH(二)
8.1 TEBPEB概述
CSDN
09-25 7744
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境块`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境块`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB中包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
PEB,TEB初学.
fun0526的专栏
08-21 6692
<br /><br />TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$t
四种方法获取TebPeb
QXinHan的博客
12-05 1714
windows-PEB&TEB
Starr
10-08 825
文章目录结构体BeingDebuggedLdr老版本成员 Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。 MSDN文档给的资料很少,以后练习调试会慢慢补充。 FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB 获取PEB地址: mov eax, dword ptr fs:[30h] 或者...
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1725
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
APF算法和TEB算法的比较
最新发布
01-30
根据引用[1]和引用的内容,APF算法(人工势场法)和TEB算法(时间最优边界)是两种用于路径规划和避障的算法。下面是它们的比较: APF算法是一种基于人工势场的算法,它通过在环境中引入吸引力和斥力来生成路径。吸引力使得机器人朝着目标移动,而斥力使得机器人避开障碍物。APF算法的优点是简单易懂,容易实现。然而,APF算法也存在一些问题,比如容易陷入局部最小值,可能会导致机器人无法到达目标。 TEB算法是一种时间最优边界算法,它通过考虑机器人的动力学约束和时间优化来生成路径。TEB算法的优点是能够考虑机器人的动力学特性,生成更加平滑和可行的路径。TEB算法还可以通过时间优化来最小化机器人的运动时间。然而,TEB算法的实现相对复杂,需要考虑更多的参数和约束。 综上所述,APF算法和TEB算法都是用于路径规划和避障的算法,但在实际应用中需要根据具体情况选择合适的算法。如果需要简单的路径规划和避障,可以考虑使用APF算法。如果需要考虑机器人的动力学特性和时间优化,可以考虑使用TEB算法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值