TEB/PEB定位PE文件导入导出表

最新推荐文章于 2023-11-07 16:51:31 发布
最新推荐文章于 2023-11-07 16:51:31 发布
阅读量1.7k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_g3366/article/details/100600579
版权

文章目录

TEB/PEB定位PE文件导入导出表

基本思路:
TEB/PEB定位PE文件基址

  1. 通过FS寄存器找到当前的TEB
  2. 通过[TEB+0x30]找到PEB的地址
  3. 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针
  4. 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitializationOrderModuleList,此成员保存着模块链表的头部地址
  5. InInitializationOrderModuleList按照顺序保存进程加载的模块基址,其中第一个始终为ntdll.dll,第二个视系统的不同可能保存有Kernel32.dll或KernelBase.dll的信息
  6. 不管Kernel32.dll或KernelBase.dll都导出有我们需要的函数GetprocAddress和LoadLibraryEx
  7. LoadLibrary只在Kernel32.dll导出

PE文件定位导入导出表

  1. [ImageBase+0x3C]是是DOS头指向NT头的偏移:e_lfanew
  2. NT头的地址:pNt=ImageBase+e_lfanew,数据目录表[0]的偏移:DirectoryRVA=[pNt+0x78]
  3. 数据目录表的地址:pDataDirectory=ImageBase+DirectoryRVA
  4. 导出表地址:pExport=ImageBase+VirtualAddress
    4.1 导入地址表:pEAT=[pExport+0x1C]
    4.2 导入名称表:pENT=[pExport+0x20]
    4.3 导入序号表:pEOT=[pExport+0x24]
    4.4 导出表名称数量:NumberOfNames=[pExport+0x18]
  5. 导入表地址:pImport=[pDataDirectory+0x8]+ImageBase

TEB-线程环境块

TEB保存了和一个线程相关的大量的信息,Windows将TEB结构的变量保存在内存中的一个位置上. 这个地址是无法直接获取到的。TIB(Thread Information Block)线程信息块是保存线程基本信息的数据结构,在用户模式下,它位于TEB的头部。

  • x86系统:
    TEB总是由FS:[0]指向的,TEB的偏移0x18是指向自己的指针,偏移0x30是PEB
    在这里插入图片描述

  • x64系统:
    TEB是由GS:[0]指向的,TEB的偏移0x30是指向自己的指针,偏移0x60是PEB
    在这里插入图片描述

PEB-进程环境块

PEB保存进程相关信息,通过PEB找到模块链表,获取模块基址

  • [PEB+0xC]找到DllList成员,此成员指向PEB_LDR_DATA 结构体
    在这里插入图片描述

  • [PEB_LDR_DATA+0x1C]找到InInitializationOrderModuleList,此成员保存模块链表的头部地址

// PEB_LDR_DATA结构
typedef struct _PEB_LDR_DATA
{
 ULONG Length;                 // +0x00
 BOOLEAN Initialized;         // +0x04
 PVOID SsHandle;              // +0x08
 LIST_ENTRY InLoadOrderModuleList;     // +0x0c 
 LIST_ENTRY InMemoryOrderModuleList;     // +0x14  
 LIST_ENTRY InInitializationOrderModuleList;    // +0x1c
} PEB_LDR_DATA,*PPEB_LDR_DATA; // +0x24

InLoadOrderModuleList 、InMemoryOrderModuleList、InInitializationOrderModuleList都是双向链表的头部,访问模块顺序的不同,列表中的每一项都是指向LDR_DATA_TABLE_ENTRY结构的指针。

  • [InInitializationOrderModuleList + 0x8] 取出模块基址
    [InInitializationOrderModuleList + 0x14] 取出模块名偏移
    [InInitializationOrderModuleList] 指向下一个模块
// struct _LIST_ENTRY结构体
typedef struct _LIST_ENTRY { 
 struct _LIST_ENTRY *Flink; 
 struct _LIST_ENTRY *Blink; 
} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;
// LDR_DATA_TABLE_ENTRY结构体
typedef struct _LDR_DATA_TABLE_ENTRY { 
/*0x00*/ PVOID Reserved1[2]; 
/*0x08*/ LIST_ENTRY InMemoryOrderLinks;     // 模块基址
/*0x0C*/ PVOID Reserved2[2]; 
/*0x14*/ PVOID DllBase;                    // 模块名字 
/*0x18*/ PVOID EntryPoint; 
/*0x1C*/ PVOID Reserved3; 
/*0x20*/ UNICODE_STRING FullDllName; 
/*0x24*/ BYTE Reserved4[8]; 
/*0x2C*/ PVOID Reserved5[3]; 
/*0x38*/ union { 
                ULONG CheckSum; 
                PVOID Reserved6; 
            }; 
/*0x40*/ ULONG TimeDateStamp; 
 } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
  1. 示例程序
DWORD GetKernel32Addr()
{
     _asm {
          push esi
          mov esi, dword ptr fs : [0x30]    //esi=PEB地址
          mov esi, [esi + 0x0C]    //esi=PEB_LDR_DATA结构体的地址
          mov esi, [esi + 0x1C]    //esi=模块链表指针InInitializationOrderModuleList
          mov esi, [esi]    //esi=访问链表的第二个条目
          mov eax, [esi + 0x08]    //ebx=Kernel32.dll模块基址
          pop esi
     }
}

定位导入导出表

  1. 在Dos头部找到NT头偏移
    在这里插入图片描述
  2. 偏移加模块基址定位到NT头后,在扩展头找到数据目录表RVA=[pNtHeader+0x78]
    在这里插入图片描述
  3. 数据目录表的地址=模块基址+RVA,每个数据目录表成员大小占8字节。
    在这里插入图片描述
  4. 导出表地址:pExport=模块基址+VirtualAddress
    4.1 导入地址表:pEAT=[pExport+0x1C]
    4.2 导入名称表:pENT=[pExport+0x20]
    4.3 导入序号表:pEOT=[pExport+0x24]
    4.4 导出表名称数量:NumberOfNames=[pExport+0x18]
typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD Characteristics;	// 0
    DWORD TimeDateStamp;	// 0x4
    WORD MajorVersion;	// 0x6
    WORD MinorVersion;	// 0x8
    DWORD Name;	// 0xC 指向该导出表文件名字字符串
    DWORD Base;	// 0x10 导出函数起始序号
    DWORD NumberOfFunctions;	// 0x14 地址表成员个数 导出序号最大-最小
    DWORD NumberOfNames;	// 0x18 以函数名字导出的函数个数
    DWORD AddressOfFunctions; // 0x1C 导出函数地址表RVA
    DWORD AddressOfNames; // 0x20 导出函数名称表RVA
    DWORD AddressOfNameOrdinals; // 0x24 导出函数序号表RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
  1. 导入表地址:pImport=[pDataDirectory+0x8]+ImageBase
初识逆向
关注
TEBPEB结构定位PE结构导入导出定位
摔不死的笨鸟的博客
08-10 934
TEB定位 PE导入导出定位PEB定位到模块基址PE定位导出PE定位导入 对于windows可执行文件的研究与学习,学会TEB PEB结构以及PE结构是必经之路。 PEB定位到模块基址 使用Windbg和OD同时分析软件 线程环境块 TEB+0X30==PEB ProcessEnvironmentBlock进程环境块 三个入口点我们取了第三个...
Cobalt Strike (CS) 逆向初探
悦分享
08-03 736
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
TEB PEB
Tan小白的日常
04-24 231
PEB typedef struct _PEB { UCHAR InheritedAddressSpace; // 00h UCHAR ReadImageFileExecOptions; // 01h UCHAR BeingDebugged; // 02h UCHAR Spare; // 03h PVOID Mutant; // 04h PVOID
TEBPEB
南宫封清的博客
04-11 3106
TEB(Thread Environment Block,线程环境块) 线程环境块中存放着进程中所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
PEB and TEB PEB and TEB(A-Z)
波波诸葛伟
01-08 519
PEB and TEB PEB and TEB PEB = Process Environment Block –basic image information (base address, version numbers, module list) –process heap information –environment variables –command-line parame
如何隐藏导入
Hell的博客
11-11 985
当有人问我这个问题的时候,我真的是一脸懵逼,我只知道编译的时候尽量少的引用dll可以减少导入的量。
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1274
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
周玉川-2017221302006-第二次实验1
08-08
PE头包含有关文件结构的信息,如导出导入等,用于定位和执行程序。 4. **线程环境块(TEB)**:每个线程都有一个TEB,它包含了线程的特定信息,包括指向进程环境块(PEB)的指针。 5. **进程环境块(PEB)**...
windows-PEB&TEB
Starr
10-08 834
文章目录结构体BeingDebuggedLdr老版本成员 Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。 MSDN文档给的资料很少,以后练习调试会慢慢补充。 FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB 获取PEB地址: mov eax, dword ptr fs:[30h] 或者...
BC28-TEB用户手册
12-12
BC28-TE-B 既可以单板使用,用于 BC28 模块软件 升级或者开发调试基于 BC28-TE-B 单板的物联网应用;同时也可以使用 Arduino 接口配合 STM32 Nucleo-64 系列开发板使用,用于开发基于 STM32 的物联网应用。以下章节将分别具体说明单板和多板使 用流程。
teb 安装
qq_58060770的博客
10-28 406
teb 安装及使用
Windows探究TEBPEB
qq_30528603的博客
09-03 603
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
TEBPEB的知识复习
小渣渣的博客
06-06 2250
fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1504
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
Kernel32.dll 文件导出的分析
qq_43675728的博客
10-16 1427
Kernel32.dll 文件导出的分析 一.实验目的 使用PEviews与OllyDbg分析Kernel32.dll。 二.实验原理准备 (1)PE/ELF文件格式 1、PE/ELF都是可执行文件格式。(被装载器和链接器使用的可执行文件的规 范格式,可执行,文件时二进制分析的输入。) 2、典型代: Unix/Linux下:Executable and Linkable Format(ELF)格式。 Windows下,Portable Executable(PE)格式。
teb,peb 数据结构原型
weixin_34128501的博客
05-18 266
为什么80%的码农都做不了架构师?>>> ...
TEBPEB学习记录(一)
最新发布
QXinHan的博客
11-07 579
TEBPEB的学习记录
反调试/反汇编技术、TEB/PEB部分说明
qq_18811919的博客
02-05 1493
反调试技术 WindowsAPI ISDebuggerPresent 查询PEB进程环境块中的ISDebugged标志 CheckRemoteDebuggerPresent 类似于IsDebuggerPresent函数,但是也可以检查其他进程 NtQueryInfomationProcess 提取一个给定进程的信息,第一个参数是进程句柄,第二个参数告诉我们它需要提取的进程信息类型,参数设置为ProcessDebugPort将会告诉你这个句柄标识的进程是否被调试 手动检查数据结构 (1)检查BeingDebu
阿克曼 TEB路径规划配置文件
10-14
阿克曼 TEB路径规划是一种基于模型预测控制的路径规划方法,其配置文件包括以下几个方面: 1. 车辆模型参数:包括车辆的轮距、轴距、质量、最大转角等参数。 2. 路径规划参数:包括起点、终点、障碍物信息等。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值