__readfsdword __readgsqword PEB TEB

最新推荐文章于 2023-12-08 22:55:11 发布
最新推荐文章于 2023-12-08 22:55:11 发布
阅读量2.4k 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/M4ster/p/readfsd_gsq_word_TEP_PEB.html
版权

 

 

To get 32-bit PEB from 32-bit process:

	BYTE* _teb = (BYTE*)__readfsdword(0x18);
	PEB32* _peb = *(PEB32**)(_teb + 0x30);

To get 64-bit PEB from 64-bit process:

	BYTE* _teb = (BYTE*)__readgsqword(0x30);
	PEB64* _peb = *(PEB64**)(_teb + 0x60);

To get 64-bit PEB from 32-bit WoW64 process:

	BYTE* _teb = (BYTE*)__readfsdword(0x18) - 0x2000;
	DWORD64 _peb = *(DWORD64*)(_teb + 0x60);

 

微软已经给我们准备好了现成的方法

NtCurrentPeb()

NtCurrentPeb()

内联方式的函数,对win32 和64 做了处理,最终也是调用了以上的函数 

__readfsdword
__readgsqword

转载于:https://www.cnblogs.com/M4ster/p/readfsd_gsq_word_TEP_PEB.html

初仔仔
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3099
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
__readfsdword未定义
zxllds的专栏
03-02 3753
error C3861: '__readfsdword': identifier not found 解决方案:#include 即可
__readfsbyte、__readfsdword、__readfsqword、__readfsword
u013043103的博客
06-25 3235
Microsoft 专用 从偏移量的指定位置读取内存相对 FS 段开头。 语法 unsigned char __readfsbyte( unsigned long Offset ); unsigned short __readfsword( unsigned long Offset ); unsigned long __readfsdword( unsigned long Offset ); unsigned __int64 __readfsqword( unsi...
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1654
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
kernel-pwn学习(4)--Double Fetch&&0CTF2018-baby
azraelxuemo的博客
04-22 296
文章目录题目附件附件分析分析init分析start.sh分析驱动ioctlsub_25chk_range_not_ok攻击泄露flag地址构造我们的flag结构体编写修改flag的子函数exp 这个题目其实总体来说漏洞不算复杂,就是一个挺简单的条件竞争 题目 附件 附件 这里面其实只需要下载.tar.gz 附件分析 别被命名欺骗了,其实只是个tar 这里的core.cpio是没有压缩过的,所以我们只需要这样就可以 这里面exp,exp,c core.cpio,以及fs.sh都可以删了 fs.sh其
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
PEB_Test.rar
12-26
1. IsDebuggerPresent ...2. PEB(进程环境块) 3. 软件断点防止 4. CheckRemoteDebuggerPresent和NtQueryInformationProcess 5:参考于https://www.4hou.com/web/15211.html,介绍的调试和反调试方法
精选_修改指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
2. **查找PEB地址**:通过ReadProcessMemory函数读取进程的TEB(Thread Environment Block)地址,因为TEB中保存了PEB的指针。 3. **修改PEB中的信息**:再次使用ReadProcessMemory读取PEB结构,找到PathName和...
TEBaPEB.rar_Windows编程_Windows_Unix_
08-11
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是两个非常重要的数据结构,它们用于管理进程和线程的状态信息。这个名为"TEBaPEB.rar"的压缩包文件包含了关于这两个概念...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
本文将深入探讨标题“MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏”所涉及的知识点,包括PEB(Process Environment Block)、PEB模块隐藏、VAD(Virtual Address Descriptor)以及进程隐藏技术。 首先,PEB...
反调试系列 | 调试标志寄存器
WAJXY2021的博客
08-27 619
调试标志寄存器 系统表中的特殊标志寄存器,即停留在进程内存中的、由操作系统设置的标志寄存器,可以用来指示进程正在被调试。这些标志寄存器的状态可以通过使用特定的API函数或检查内存中的系统表来验证。 这些技术是恶意软件最常使用的。 1. 使用Win32 API 以下技术使用现有的API函数(WinAPI或NativeAPI),这些函数检查进程内存中的系统结构,以寻找表明进程现在正在被调试的特定标志寄存器。 1.1. IsDebuggerPresent() 函数kernel32!IsDebugger
汇编级别反调试(2)
青月的成长记录吖
03-24 466
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
反调试示例代码
luduxin001的博客
12-08 378
反调试示例
二、C++反作弊对抗实战 (进阶篇 —— 18.如何检测与对抗各种调试器)
Koma的主页
04-16 1823
如何检测与对抗各种调试器 为了应对破解者调试我们的反作弊系统,所以我们需要检测各种调试器,以此来判断我们的游戏是否正在被调试。本文将非常详细的由浅入深的介绍ring3下面各种常见的检测方法(包括示例代码)
创建实例
心想事成
11-21 600
创建实例 创建实例,CreateInstance 完成了所有构件的装配工作。当然,还有一个更高层的函数,CRtlOneShotTypeDescriptionInit,即100F2350,不过,在那个函数中已经看不到任何有用的内容,只是对这个函数进行了进一步的封装。 //----- (100F2202)----------------------------------------
26种对付反调试的方法
weixin_34235371的博客
05-15 4494
2019独角兽企业重金招聘Python工程师标准>>> ...
Moving to Windows Vista x64(codeproject)
staryy的专栏
07-25 2654
Moving to Windows Vista x64 By Daniel Pistelli. An article about x64 and Windows Vista. GenericWindo
逆向 - TEB线程环境块
JiangBuLiu的博客
03-31 451
遇到代码v1 = *(_DWORD *)(__readfsdword(0x18) + 4) 偏移 内容 0x0 SEH链表指针 0x4 线程堆栈顶部(地址最小) 0x8 线程堆栈底部(地址最大) 0xC SubSystemTib 0x10 FiberData 0x14 ArbitraryUserPointer 0x18 FS段寄存器在内存中的镜像 0x2...
反射式dll注入
摔不死的笨鸟的博客
08-27 6405
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射式注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
_PEB_LDR_DATA
最新发布
04-23
_PEB_LDR_DATA是Windows操作系统中的一个数据结构,它是PEB(Process Environment Block,进程环境块)中的一个成员。PEB是每个进程独有的数据结构,用于存储进程的运行时信息。 _PEB_LDR_DATA结构体用于管理进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值