php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量318 收藏
点赞数
文章标签: php5.2 peb 模块

[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。

//

#include "pch.h"

#include

#include "windows.h"

#define NT_SUCCESS(x) ((x) >= 0)

#define ProcessBasicInformation 0

typedef NTSTATUS(NTAPI *pfnNtWow64QueryInformationProcess64)(

IN HANDLE ProcessHandle,

IN ULONG ProcessInformationClass,

OUT PVOID ProcessInformation,

IN ULONG ProcessInformationLength,

OUT PULONG ReturnLength OPTIONAL

);

typedef NTSTATUS(NTAPI *pfnNtWow64ReadVirtualMemory64)(

IN HANDLE ProcessHandle,

IN PVOID64 BaseAddress,

OUT PVOID Buffer,

IN ULONG64 Size,

OUT PULONG64 NumberOfBytesRead

);

typedef

NTSTATUS(WINAPI *pfnNtQueryInformationProcess)

(HANDLE ProcessHandle, ULONG ProcessInformationClass,

PVOID ProcessInformation, UINT32 ProcessInformationLength,

UINT32* ReturnLength);

typedef struct _PROCESS_BASIC_INFORMATION32 {

NTSTATUS ExitStatus;

UINT32 PebBaseAddress;

UINT32 AffinityMask;

UINT32 BasePriority;

UINT32 UniqueProcessId;

UINT32 InheritedFromUniqueProcessId;

} PROCESS_BASIC_INFORMATION32;

typedef struct _UNICODE_STRING32

{

USHORT Length;

USHORT MaximumLength;

PWSTR Buffer;

} UNICODE_STRING32, *PUNICODE_STRING32;

typedef struct _PEB32

{

UCHAR InheritedAddressSpace;

UCHAR ReadImageFileExecOptions;

UCHAR BeingDebugged;

UCHAR BitField;

ULONG Mutant;

ULONG ImageBaseAddress;

ULONG Ldr;

ULONG ProcessParameters;

ULONG SubSystemData;

ULONG ProcessHeap;

ULONG FastPebLock;

ULONG AtlThunkSListPtr;

ULONG IFEOKey;

ULONG CrossProcessFlags;

ULONG UserSharedInfoPtr;

ULONG SystemReserved;

ULONG AtlThunkSListPtr32;

ULONG ApiSetMap;

} PEB32, *PPEB32;

typedef struct _PEB_LDR_DATA32

{

ULONG Length;

BOOLEAN Initialized;

ULONG SsHandle;

LIST_ENTRY32 InLoadOrderModuleList;

LIST_ENTRY32 InMemoryOrderModuleList;

LIST_ENTRY32 InInitializationOrderModuleList;

ULONG EntryInProgress;

} PEB_LDR_DATA32, *PPEB_LDR_DATA32;

typedef struct _LDR_DATA_TABLE_ENTRY32

{

LIST_ENTRY32 InLoadOrderLinks;

LIST_ENTRY32 InMemoryOrderModuleList;

LIST_ENTRY32 InInitializationOrderModuleList;

ULONG DllBase;

ULONG EntryPoint;

ULONG SizeOfImage;

UNICODE_STRING32 FullDllName;

UNICODE_STRING32 BaseDllName;

ULONG Flags;

USHORT LoadCount;

USHORT TlsIndex;

union

{

LIST_ENTRY32 HashLinks;

ULONG SectionPointer;

};

ULONG CheckSum;

union

{

ULONG TimeDateStamp;

ULONG LoadedImports;

};

ULONG EntryPointActivationContext;

ULONG PatchInformation;

} LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;

typedef struct _PROCESS_BASIC_INFORMATION64 {

NTSTATUS ExitStatus;

UINT32 Reserved0;

UINT64 PebBaseAddress;

UINT64 AffinityMask;

UINT32 BasePriority;

UINT32 Reserved1;

UINT64 UniqueProcessId;

UINT64 InheritedFromUniqueProcessId;

} PROCESS_BASIC_INFORMATION64;

typedef struct _PEB64

{

UCHAR InheritedAddressSpace;

UCHAR ReadImageFileExecOptions;

UCHAR BeingDebugged;

UCHAR BitField;

ULONG64 Mutant;

ULONG64 ImageBaseAddress;

ULONG64 Ldr;

ULONG64 ProcessParameters;

ULONG64 SubSystemData;

ULONG64 ProcessHeap;

ULONG64 FastPebLock;

ULONG64 AtlThunkSListPtr;

ULONG64 IFEOKey;

ULONG64 CrossProcessFlags;

ULONG64 UserSharedInfoPtr;

ULONG SystemReserved;

ULONG AtlThunkSListPtr32;

ULONG64 ApiSetMap;

} PEB64, *PPEB64;

typedef struct _PEB_LDR_DATA64

{

ULONG Length;

BOOLEAN Initialized;

ULONG64 SsHandle;

LIST_ENTRY64 InLoadOrderModuleList;

LIST_ENTRY64 InMemoryOrderModuleList;

LIST_ENTRY64 InInitializationOrderModuleList;

ULONG64 EntryInProgress;

} PEB_LDR_DATA64, *PPEB_LDR_DATA64;

typedef struct _UNICODE_STRING64

{

USHORT Length;

USHORT MaximumLength;

ULONG64 Buffer;

} UNICODE_STRING64, *PUNICODE_STRING64;

typedef struct _LDR_DATA_TABLE_ENTRY64

{

LIST_ENTRY64 InLoadOrderLinks;

LIST_ENTRY64 InMemoryOrderModuleList;

LIST_ENTRY64 InInitializationOrderModuleList;

ULONG64 DllBase;

ULONG64 EntryPoint;

ULONG SizeOfImage;

UNICODE_STRING64 FullDllName;

UNICODE_STRING64 BaseDllName;

ULONG Flags;

USHORT LoadCount;

USHORT TlsIndex;

union

{

LIST_ENTRY64 HashLinks;

ULONG64 SectionPointer;

};

ULONG CheckSum;

union

{

ULONG TimeDateStamp;

ULONG64 LoadedImports;

};

ULONG64 EntryPointActivationContext;

ULONG64 PatchInformation;

} LDR_DATA_TABLE_ENTRY64, *PLDR_DATA_TABLE_ENTRY64;

int main()

{

DWORD dwPid = 4480;

HANDLE m_ProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

BOOL bTarget = FALSE;

BOOL bSource = FALSE;

IsWow64Process(GetCurrentProcess(), &bSource);

IsWow64Process(m_ProcessHandle, &bTarget);

SYSTEM_INFO si;

GetSystemInfo(&si);

if (bTarget == FALSE && bSource == TRUE)

{

HMODULE NtdllModule = GetModuleHandle(L"ntdll.dll");

pfnNtWow64QueryInformationProcess64 NtWow64QueryInformationProcess64 = (pfnNtWow64QueryInformationProcess64)GetProcAddress(NtdllModule, "NtWow64QueryInformationProcess64");

pfnNtWow64ReadVirtualMemory64 NtWow64ReadVirtualMemory64 = (pfnNtWow64ReadVirtualMemory64)GetProcAddress(NtdllModule, "NtWow64ReadVirtualMemory64");

PROCESS_BASIC_INFORMATION64 pbi64 = { 0 };

if (NT_SUCCESS(NtWow64QueryInformationProcess64(m_ProcessHandle, ProcessBasicInformation, &pbi64, sizeof(pbi64), NULL)))

{

DWORD64 Ldr64 = 0;

LIST_ENTRY64 ListEntry64 = { 0 };

LDR_DATA_TABLE_ENTRY64 LDTE64 = { 0 };

wchar_t ProPath64[256];

if (NT_SUCCESS(NtWow64ReadVirtualMemory64(m_ProcessHandle, (PVOID64)(pbi64.PebBaseAddress + offsetof(PEB64, Ldr)), &Ldr64, sizeof(Ldr64), NULL)))

{

if (NT_SUCCESS(NtWow64ReadVirtualMemory64(m_ProcessHandle, (PVOID64)(Ldr64 + offsetof(PEB_LDR_DATA64, InLoadOrderModuleList)), &ListEntry64, sizeof(LIST_ENTRY64), NULL)))

{

if (NT_SUCCESS(NtWow64ReadVirtualMemory64(m_ProcessHandle, (PVOID64)(ListEntry64.Flink), &LDTE64, sizeof(_LDR_DATA_TABLE_ENTRY64), NULL)))

{

while (1)

{

if (LDTE64.InLoadOrderLinks.Flink == ListEntry64.Flink) break;

if (NT_SUCCESS(NtWow64ReadVirtualMemory64(m_ProcessHandle, (PVOID64)LDTE64.FullDllName.Buffer, ProPath64, sizeof(ProPath64), NULL)))

{

printf("模块基址:0x%llX\n模块大小:0x%X\n模块路径:%ls\n", LDTE64.DllBase, LDTE64.SizeOfImage, ProPath64);

}

if (!NT_SUCCESS(NtWow64ReadVirtualMemory64(m_ProcessHandle, (PVOID64)LDTE64.InLoadOrderLinks.Flink, &LDTE64, sizeof(_LDR_DATA_TABLE_ENTRY64), NULL))) break;

}

}

}

}

}

}

else if (bTarget == TRUE && bSource == TRUE || si.wProcessorArchitecture != PROCESSOR_ARCHITECTURE_AMD64 ||

si.wProcessorArchitecture != PROCESSOR_ARCHITECTURE_IA64)

{

HMODULE NtdllModule = GetModuleHandle(L"ntdll.dll");

pfnNtQueryInformationProcess NtQueryInformationProcess = (pfnNtQueryInformationProcess)GetProcAddress(NtdllModule, "NtQueryInformationProcess");

PROCESS_BASIC_INFORMATION32 pbi32 = { 0 };

if (NT_SUCCESS(NtQueryInformationProcess(m_ProcessHandle, ProcessBasicInformation, &pbi32, sizeof(pbi32), NULL)))

{

DWORD Ldr32 = 0;

LIST_ENTRY32 ListEntry32 = { 0 };

LDR_DATA_TABLE_ENTRY32 LDTE32 = { 0 };

wchar_t ProPath32[256];

if (ReadProcessMemory(m_ProcessHandle, (PVOID)(pbi32.PebBaseAddress + offsetof(PEB32, Ldr)), &Ldr32, sizeof(Ldr32), NULL))

{

if (ReadProcessMemory(m_ProcessHandle, (PVOID)(Ldr32 + offsetof(PEB_LDR_DATA32, InLoadOrderModuleList)), &ListEntry32, sizeof(LIST_ENTRY32), NULL))

{

if (ReadProcessMemory(m_ProcessHandle, (PVOID)(ListEntry32.Flink), &LDTE32, sizeof(_LDR_DATA_TABLE_ENTRY32), NULL))

{

while (1)

{

if (LDTE32.InLoadOrderLinks.Flink == ListEntry32.Flink) break;

if (ReadProcessMemory(m_ProcessHandle, (PVOID)LDTE32.FullDllName.Buffer, ProPath32, sizeof(ProPath32), NULL))

{

printf("模块基址:0x%X\n模块大小:0x%X\n模块路径:%ls\n",LDTE32.DllBase,LDTE32.SizeOfImage,ProPath32);

}

if (!ReadProcessMemory(m_ProcessHandle, (PVOID)LDTE32.InLoadOrderLinks.Flink, &LDTE32, sizeof(_LDR_DATA_TABLE_ENTRY32), NULL)) break;

}

}

}

}

}

}

CloseHandle(m_ProcessHandle);

getchar();

}

// 运行程序: Ctrl + F5 或调试 >“开始执行(不调试)”菜单

// 调试程序: F5 或调试 >“开始调试”菜单

// 入门提示:

// 1. 使用解决方案资源管理器窗口添加/管理文件

// 2. 使用团队资源管理器窗口连接到源代码管理

// 3. 使用输出窗口查看生成输出和其他消息

// 4. 使用错误列表窗口查看错误

// 5. 转到“项目”>“添加新项”以创建新的代码文件,或转到“项目”>“添加现有项”以将现有代码文件添加到项目

// 6. 将来,若要再次打开此项目,请转到“文件”>“打开”>“项目”并选择 .sln 文件

喂今天救公主了吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言无模块注入_针对银行木马BokBot核心模块的深入分析
weixin_39707201的博客
11-22 2582
一、概述BokBot恶意软件由LUNAR SPIDER恶意组织开发和运营,在2017年首次出现,CrowdStrike的Falcon Overwatch和Falcon Intelligenc团队对被感染主机进行了分析。最近,由于借助MUMMY SPIDER恶意组织的Emotet恶意软件进行分发活动,BokBot的感染数量又有所增加。BokBot恶意软件具有强大的功能,分为命令和控制、模...
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6247
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取peb的地址。大家不妨试试,直接将
QueryInformationProcess API
zwh37333的专栏
08-24 3263
这是一个在MSDN上公开信息不是很多的API,但是这个API确很是有用。1. 进程的ID2. 映像文件的位置3. 命令行参数在很多不同的OS 版本上都有支持,API 的参数定义,要参考SDK。可是使用这个API 和Readmemory 这个API 实现很多API的功能,这样就可以解决那些衍生的API 在特定的OS上美哟实现的问题。      
<原创> 通过PEB获得进程路径 (附完整工程)
weixin_34379433的博客
03-09 301
完整工程:http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 PEB地址可以通过函数PsGe...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
使用API NtWow64QueryInformationProcess64 获取进程64位PEB结构地址。使用API NtWow64ReadVirtualMemory64 读取进程64位内存地址的数据。通过PEB64结构进行遍历进程64位模块。对于32进程,通过 ...
32进程枚举64位进程模块信息
06-02
' WOW6432位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位32进程
易语言-eWOW64Ext v1.21 - 加载任意 32/64 模块|动态调用|64 位汇编|64进程读写
06-25
取当前易程序 64 位 TEB,通过 TEB 再取 PEB,则进程和线程信息以及模块等一览无余了 GetNtdll64 ntdll.dll 在 64 位环境下的内存基址 GetModuleHandleEx64 通过模块哈希值获取64 位地址空间的内存基址(易进程而...
易语言-32进程枚举64位进程模块信息
06-29
' WOW6432位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1725
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
peb获取kernel32基址,用第一和第二种
收集学习过程中对自己有帮助的牛人文章
10-15 1750
通过PEB枚举当前进程空间中用户模块列表也可以获取Kernel32模块的基地址,fs:[0]指向TEB,fs:[30h]指向PEBPEB偏移0ch是LDR指针,以下可以分别通过加载顺序、内存顺序、初始化顺序获取Kernel32模块的基地址,这里以初始化顺序为例: 未公开的LDR_MODULE数据结构如下: typedef struct _LDR_MODULE {     LIST
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1629
我们常常通过很多方法来获取进程模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
使用Python对GTA学习研究
Wrpzkb
10-10 1453
EPIC送了GTA5,最近考完试和朋友一起玩了下,由于刚开始,等级低,朋友带我打任务的时候,完全就打不过,我的甲没几下就爆了,刚开始没什么。 但是今天去打末日3的时候,由于只有两个人,玩过的都知道,末日3是需要一个人去玩小游戏,然后其他人保护玩小游戏那个队友,末日3的NPC是会一直刷,怎么打都打不完,有一瞬间就变成了CSGO练爆头模式,完全没得打(打不过就充钱,没得充钱就变强)。后面搜了搜,发现别人歪瓜的截图,有锁血功能,就想去了解一下。 打开GTAV,进入故事模式。GTAV官方在故事模式中,有给出作弊代.
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5197
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
由枚举模块到ring0内存结构 (分析NtQueryVirtualMemory)
weixin_30667649的博客
07-23 746
是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PEB中的Moudle链表, kd> dt _PEB +0x00c Ldr...
PEBPEB_LDR_DATA结构
热门推荐
BetaBin
04-20 1万+
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001
通过PEB遍历进程模块(x64/wow4)
05-12
通过PEB,我们可以获取当前进程模块信息,包括模块的基地址、模块的名称等。 在x64wow64下,PEB结构体的定义并没有变化,但是由于x64wow64的指针长度不同,所以在使用PEB时需要注意指针长度的问题。 以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值