通过TEB遍历进程模块

最新推荐文章于 2023-12-05 00:31:33 发布
最新推荐文章于 2023-12-05 00:31:33 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: ASM/WTL/MFC/QT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/8753961
版权 

#include "StdAfx.h"
#include <iostream>
#include <tchar.h>
#include <windows.h>

typedef struct _PEB_LDR_DATA {
	UINT Length;
	BYTE Initialized;
	void* SsHandle;
	LIST_ENTRY InLoadOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _PEB {
	BYTE InheritedAddressSpace;
	BYTE ReadImageFileExecOptions;
	BYTE BeingDebugged;
	BYTE BitField;
	void* Mutant;
	void* ImageBaseAddress;
	PPEB_LDR_DATA Ldr;
} PEB, *PPEB;

typedef struct _CLIENT_ID {
	PVOID UniqueProcess;
	PVOID UniqueThread;
} CLIENT_ID, *PCLIENT_ID;

typedef struct _TEB {
	NT_TIB                  Tib;
	PVOID                   EnvironmentPointer;
	CLIENT_ID               Cid;
	PVOID                   ActiveRpcInfo;
	PVOID                   ThreadLocalStoragePointer;
	PPEB                    Peb;
} TEB, *PTEB;

typedef PTEB (NTAPI* FuncNtCurrentTeb)();

typedef struct _UNICODE_STRING {
	USHORT  Length;
	USHORT  MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY  InLoadOrderLinks;
	LIST_ENTRY  InMemoryOrderModuleList;
	LIST_ENTRY  InInitializationOrderModuleList;
	PVOID  DllBase;
	PVOID  EntryPoint;
	ULONG  SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING  BaseDllName;
} _LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

char * w2c(char *pcstr,const wchar_t *pwstr, size_t len)
{
	int nlength=wcslen(pwstr);
	
	//获取转换后的长度
	int nbytes = WideCharToMultiByte( 0, // specify the code page used to perform the conversion
		0,         // no special flags to handle unmapped characters
		pwstr,     // wide character string to convert
		nlength,   // the number of wide characters in that string
		NULL,      // no output buffer given, we just want to know how long it needs to be
		0,
		NULL,      // no replacement character given
		NULL );    // we don't want to know if a character didn't make it through the translation
	// make sure the buffer is big enough for this, making it larger if necessary
	if(nbytes>len)   
		nbytes=len;
	
	// 通过以上得到的结果,转换unicode 字符为ascii 字符
	WideCharToMultiByte( 0, // specify the code page used to perform the conversion
		0,         // no special flags to handle unmapped characters
		pwstr,   // wide character string to convert
		nlength,   // the number of wide characters in that string
		pcstr, // put the output ascii characters at the end of the buffer
		nbytes,                           // there is at least this much space there
		NULL,      // no replacement character given
		NULL );
	return pcstr ;
}

void Show()
{
	FuncNtCurrentTeb ngt = (FuncNtCurrentTeb)GetProcAddress( GetModuleHandle( _T("ntdll.dll") ), "NtCurrentTeb" );
	PTEB pTeb = ngt();
	PPEB pPeb = pTeb->Peb;
	PPEB_LDR_DATA pPld = pPeb->Ldr;
	PLDR_DATA_TABLE_ENTRY pldte = (PLDR_DATA_TABLE_ENTRY)pPld->InLoadOrderModuleList.Flink;
	bool bFound = false;
	while( !bFound && pldte->DllBase != NULL )
	{
		char szDll[MAX_PATH];
		memset(szDll,0x00,MAX_PATH);
		w2c(szDll,pldte->BaseDllName.Buffer,pldte->BaseDllName.Length);
		_tprintf( _T("%s\r\n"),szDll);
		pldte = (PLDR_DATA_TABLE_ENTRY)((LIST_ENTRY*)(pldte))->Flink;
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	getchar();
	Show();
	getchar();
	Show();
	return 0;
}


汪宁宇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5065
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
c语言断链隐藏dll,利用C++ R3层断链实现模块隐藏功能
weixin_39765840的博客
05-20 1297
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程环境块)与TEB(Thread Environment Block 进程环境块)来找到一个双向链表,通过遍历双向链表中某一成员(字符串)来查找全部模块模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该链表断链,将某一模块从这个双向链表中摘除,这样再调用传...
用户层获取TEB PEB结构地址 遍历进程模块.doc
08-08 350
1.fs寄存器指向TEB结构2.在TEB+0x30地方指向PEB结构3.在PEB+0x0C地方指向PEB_LDR_DATA结构4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll,第二个就是kernel32.dll的地址。其结构示意图如图利用PEB查找kernerl32地址的汇编实现moveax,fs:0x30;PEB的...
四种方法获取Teb和Peb
最新发布
QXinHan的博客
12-05 1672
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2281
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
线程局部存储(TLS)
whl0071的专栏
03-09 2239
线程局部存储,Part 1:概述 和其它主流多线程操作系统一样,Windows为大家提供一个机制,该机制允许程序员实现基于线程的局部状态存储。这种能力通常称为线程局部存储(Thread Local Storage,TLS),这对于那些需要保存线程相关信息但需要全局可见的应用场景非常有用。 尽管TLS的介绍有很好的文档可参考,但关于其实现细节的介绍并不多(尽管也有一些非官方文档进行比较表面的介绍)。 至少从高层来将,TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问
TEB和PEB
南宫封清的博客
04-11 3093
TEB(Thread Environment Block,线程环境块) 线程环境块中存放着进程中所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
手工获取模块相关信息1
08-03
在Windows操作系统中,获取模块相关信息是一项重要的任务,它涉及到...通过遍历PEB的模块链表,可以获取到进程中的所有已加载模块的信息,包括名称、基地址等。这些功能对于调试、监控或者开发软件/插件是至关重要的。
逆向总结(3)-- 无模块遍历API(找到Kernel32.dll)
oBuYiSeng的博客
01-04 1395
很多的时候,我们需要使用到无模块获取到Kernel32.dll的基址,这时候,我们就需要借助FS还完成:       1)通过FS得到TEB的地址          2)TEB偏移0x30处指向的是PEB指针          3)PEB偏移0x0C处指向PEB_LDR_DATA结构指针          4)PEB_LDR_DATA偏移0x1C处是InInitializationOr
windbg获取TEB(线程环境块)信息
qq_35426012的博客
10-23 2207
windbg下载安装配置符号路径 如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10 sdk中下载 链接:https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive 下载后会有x86和64位两个版本,两个版本都要配置符号路径,否则只能使用...
TEB结构思考
stonesharp的专栏
11-08 4604
在网上看到的一篇文章如下: TEB与PEB的结构分析,如阿燐燐所诉FS寄存器指向当前活动线程的TEB结构(线程结构)    用OD打开一个任意程序可以看到FS段寄存器的状况,其中选择子是003B,在GDT中的起始位置是7FFDF000,大小是00FFFFFF,是一个RING3的调用门。 在数据窗口中跟踪7FFDF000然后以长型地址的方式查看数据,可以完整的看到TEB结构 ,
通过TEB/PEB枚举当前进程空间中用户模块列表
03-22 1644
作者:scz 主页:http://www.nsfocus.net日期:2003-09-03这只是我一篇巨长无比的笔记中的一小节,因此只列了本节所引参考资源,可我还是很乐意向大家推荐[8]、[10]。如果对你有用,是否也可以给我订份小礼物,呵,小玩笑啦。☆ 通过TEB/PEB枚举当前进程空间中用户模块列表实在没精力找出最早介绍该项技术的文章,尽管很想知道答案。29A杂志中大量使用该技术([8]),并
利用TEB和PEB在3环 断链模块 遍历模块
qq_41490873的博客
05-02 770
nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //UniqueProcess UniqueThread 进程ID +4 线程ID +0x028 ActiveRpcHan...
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 377
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
LDR链调试手记(TEB获取动态函数地址)
SauceJ的专栏
09-28 2403
转自看雪 LDR链调试手记    无论是编写ShellCode还是外壳程序,都需要动态的获取各个api的实际地址,最通用的方法之一,莫过于通过得到各个DLL模块的基址,再遍历其导出表。其中,获得各个模块基址中,通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结,于是就有了这一篇手记。
TEB(线程环境块)学习
weixin_44156885的博客
09-11 5231
文章目录TEBTEB结构中的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlag TEB TEB结构中的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...
fs寄存器获取PEB/TEB
shuishan_lmy的博客
05-24 1284
matlab teb
09-09
中提到了一个名为TEB算法的matlab程序包。TEB算法是一种路径规划算法,它主要用于机器人在动态环境中规划最优的运动轨迹。该算法提供了详细的文档和代码分析,可以帮助用户深入理解和应用TEB算法。 此外,中提到了关于TEB算法源码的一系列文章,这些文章分为多个篇章,作者对源码进行了详细的讲解,并提供了中文注释的代码,这对深入研究和理解TEB算法的人来说非常有帮助。如果你对TEB算法感兴趣,可以去阅读这些文章,地址为TEB算法。 根据的信息,在TEB算法的node文件中,最后进行了对TEB算法的实例化操作,通过传递参数来配置TEB算法的运行环境。这个实例化的操作通常在程序的主函数中进行,在实例化之后,TEB算法就可以被调用和使用了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值