TEB(线程环境块)学习

最新推荐文章于 2023-09-25 09:02:15 发布
最新推荐文章于 2023-09-25 09:02:15 发布
阅读量5.1k 收藏 8
点赞数 3
分类专栏: PE 文章标签: TEB PEB 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44156885/article/details/100729365
版权

文章目录

TEB

TEB结构中的两个重要成员

+0x000 NtTib 	  :_NT_TIB
.
.
.
+0x30 ProcessEnvironmentBlock       :Ptr32_PEB

NtTib成员

TEB结构体的第一个成员为_NT_TIB结构体(TIB意为线程信息块)
_NT_TIB结构体

typedef struct	_NT_TIB{
	 struct	_EXCEPTION_REGISTRATION_RECORD *ExceptionList;
	 PVOID StackBase;
	 PVOID StackLimit; 
	 PVOID SubSystemTib; 
	 union {
		PVOID FiberData; 
		DWORD Version;
	 }; 
	 PVOID ArbitraryUserPointer;
 	 struct	_NT_TIB *Self;
} NT_TIB;
typedef NT_TIB *PNT_TIB;

ExceptionList成员指向_EXCEPTION_REGISTRATION_RECORD结构体组成的链表,它用于WindowsOS的SEH, SEH是Wiondows操作系统中的结构化异常处理机制,常用于反调试技术。Self成员是_NT_TIB结构体的自引用指针,它指向_NT_TIB结构体,又因为_NT_TIB是TEB结构体的第一个成员,所以它也是指向TEB结构体的指针(它里面存着TEB结构体的地址)。
用户模式下使用Ntdll.NtCurrentTeb()API访问TEB结构体,它返回当前线程的的TEB结构体的地址,它的实现方法就是返回FS:[0x18]处的地址值(FS段寄存器用来指示当前线程的TEB结构体),而FS:0x18处正是Self指针,其含有的也正是TEB结构体的地址。
用一个公式总结:
FS:[0x18] = TEB.NtTib.Self = address of TIB = address of TEB = FS:0(注意:xx:[]是该处含有的值)

  • FS:[0x18] = TEB起始地址
  • FS:[0x30] = PEB的起始地址
    FS:[0x30] = TEB.ProcessEnvironmentBlock = address of PEB
    通过TEB的ProcessEnvironment Block成员可以获得PEB结构体的起始地址。
  • FS:[0] = TEB.NtTib.ExceptionList = address of SEH

PEB成员

使用汇编获取PEB地址的两种方法
方法1

MOV	EAX,DWORD PTR FS:[30]    ;FS:[30] = address of PEB

方法2

MOV	EAX,DWORD PTR FS:[18]    ;FS[18] = address of TEB
MOV 	EAX,DWORD PTR DS:[EAX+30]   ;DS[EAX+30] = address of PEB

PEB中重要的几个成员

+002	BeingDebugged 	;Uchar(可用于反调试技术)
...
+008	ImageBaseAddress 	 ;Ptr32 Void
...
+00c	Ldr 	 ;Ptr32 _PEB_LDR_DATA(可用于反调试技术)
...
+018	ProcessHeap 	 ;Ptr32 Void(可用于反调试技术)
...
+068	NtGlobalFlag 	  ;uint4B(可用于反调试技术)
PEB.BeingDebugged

BeingDebugged的作用就是标识当前进程是否处于调试状态,Kernel32.dll中的IsDebuggerPresent() API就是用来获取该处的值的(是,则返回1;否,则返回0)。
IsDebuggerPresent() API的汇编代码形式

MOV	EAX,DWORD PTR FS:[18]
MOV	EAX,DWORD PTR DS:[EAX+30]
MOVZX	EAX,BYTE PTR DS:[EAX+2]
RETN

该值在代码逆向分析领域主要用于反调试技术。检测该值,若进程处于调试中,则终止进程。

  • 破解之法
    只要借助OllyDbg调试器的编辑功能,将PEB.BeingDebugged的值修改为0(FALSE)即可。
PEB.ImageBaseAddress

PEB.ImageBaseAddress成员用来表示进程的ImageBase
GetModuleHandle()API用来获取ImageBase。

HMODULE WINAPI GetModuleHandle(
	__in_opt LPCTSTR lpModuleName
);

将lpModuleName参数赋值为NULL,调用GetModuleHandle()函数将返回进程被加载的ImageBase
GetModuleHandle() API的部分代码

MOV	EAX,DWORD PTR FS:[18]         ;FS:[18] = TEB
MOV	EAX,DWORD PTR DS:[EAX+30]     ;DS:[EAX+30] = PEB
MOV	EAX,DWORD PTR DS:[EAX+8]      ;DS:[EAX+8] = PEB.ImageBaseAddress

函数的最终返回值将被存到EAX中

PEB.Ldr

PEB.Ldr成员是指向_PEB_LDR_DATA结构体的指针,_PEB_LDR_DATA结构体如下。

+000 Length                         :Uint4B
+004 Initialized                    :UChar
+008 SsHandle                       :Ptr32 Void
+00c InLoadOrderModulelist          :_LIST_ENTRY
+014 InMemoryOrderModulelist        :_LIST_ENTRY
+01c InInitializationOrderModulelist:_LIST_ENTRY
+024 EntryInProgress                :Ptr32 Void
+028 ShutdownInProgress             :UChar
+02c ShutdownThreadId               :Ptr32 Void

当模块(DLL)加载到进程后,通过PEB.Ldr成员可以直接获得该模块的加载基址,_PEB_LDR_DATA结构体中含有3个_LIST_ENTRY类型的成员,_LIST_ENTRY结构体如下。

typedef struct LIST_ENTRY{
struct _LIST_ENTRY *Flink; 
struct _LIST_ENTRY *Bink;
}LIST_ENTRY,*PLIST_ENTRY;

从上述结构体可以看出,_LIST_ENTRY结构体提供双向链表机制。链表中保存的是_LDR_DATA_TABLE_ENTRY结构体的信息,给结构体如下。

typedef struct _LDR_DATA_TABLE_ENTRY {
	PVOID Reserved1[2];
	LIST_ENTRY InMemoryOrderLinks; 
	PVOID Reserved2[2]; 
	PVOID D1lBase; 
	PVOID EntryPoint; 
	PVOID Reserved3;
	Unicode_STRING Ful1D1lName; 
	BYTE Reserved4[8]; 
	PVOID Reserved5[3]; 
	union{
		ULONG CheckSum; 
		PVOID Reserved6;
	};
	ULONG TimeDateStamp;
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

每个加载到进程中的DLL模块都对应一个_LDR_DATA_TABLE_ENTRY结构体,这些结构体相互链接,最终形成了_LIST_ENTRY双向链表。_PEB_LDR_DATA结构体中存在3种_LIST_ENTRY双向链表,也就是说,存在多个_LDR_DATA_TABLE_ENTRY结构体,并且有三种链接方法可以将它们链接起来。

PEB.ProcessHeap & PEB.NtGolbalFlag

PEB.ProcessHeap与PEB.NtGlobalFlag成员(像PEB.BeingDebugged成员一样)应用于反调试技术。若进程处于调试状态,则ProcessHeap与NtGlobalFlag成员就持有特定值。由于它们具有这一个特征,所以常常应用于反调试技术。
PEB.ProcessHeap成员是指向HEAP结构体的指针,HEAP结构体如下。

+0×000 Entry	:_HEAP_ENTRY
+0×008 Signature	:Uint4B
+0×00c Flags	:Uint4B
+0×010 ForceFlags	:Uint4B
+0×014 VirtualMemoryThreshold 	:Uint4B
+0×018 SegmentReserve	:Uint4B
+0×01c SegmentCommit	:Uint4B
+0×020 DeCommitFreeBlockThreshold	 :Uint4B
...

进程处于被调试状态时,Flags(+0xC)与Force Flags(+ox10)成员被设置成特定的值。
PEB.ProcessHeap(PEB结构体中偏移0x18的位置)成员既可以从PEB结构体中直接获得,也可以通过GetProcessHeap() API获得。
GetProcessHeap() API代码的汇编形式基本类似于IsDebuggerPresent(),按照TEB→PEB→PEB.ProcessHeap顺序访问的ProcessHeap
汇编代码如下

MOV	EAX,DWORD PTR FS:[18]	;FS:[18] = TEB
MOV	EAX,DWORD PTR DS:[EAX+30]	;DS:[EAX+30] = PEB
MOV	EAX,DWORD PTR DS:[EAX+18]	;DS:[EAX+18] = PEB.ProcessHeap
RETN

当进程运行正常时Heap.Flagsh成员的值为0x2,Heap. ForceFlags成员的值位0x0,进程处于被调试状态时这些值也会随之改变

  • 破解之法
    只要将HEAP.Flags与HEAP.ForceFlags的值重新设置为2与0即可(HEAP.Flags=2,HEAP.ForceFlags=0)。
    注意:该方法仅在WindowsXP系统中有效,Windows7系统不存在以上特征。此外,将运行中的进程附加到调试器时,也不会出现上述特征。
浪里个浪...
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
171124 逆向-线程环境TEB
whklhhhh的博客
11-28 2180
1625-5 王子昂 总结《2017年11月24日》 【连续第420天总结】 A. TEB线程环境) B. 介绍该结构体中包含进程中运行线程的各种信息,每个线程都对应一个TEB结构体。 不同OS中TEB结构的形态略微不同。定义结构体中有非常多的成员,其中用户模式调试中起着重要作用的成员有两个:+0 NtTib : _NT_TIB ... +0X30 ProcessEnvironmentB
收集点关于FS寄存器的资料
晓斌的博客
03-08 5791
FS寄存器指向当前活动线程TEB结构线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
Thread Environment Block(TEB
寻梦&之璐
01-25 5074
TEB简介 TEB(Thread Environment Block,线程环境)指线程环境,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应着一个TEB结构体。不同OS中TEB结构体的形态略微有点不同 TEB结构体定义 MSDN typedef struct _TEB { PVOID Reserved1[12]; PPEB ProcessEnvironmentBlock; PVOID Reserved2[399]; BYTE Reserved3[1952]; PVOI
逆向 - TEB线程环境
JiangBuLiu的博客
03-31 460
遇到代码v1 = *(_DWORD *)(__readfsdword(0x18) + 4) 偏移 内容 0x0 SEH链表指针 0x4 线程堆栈顶部(地址最小) 0x8 线程堆栈底部(地址最大) 0xC SubSystemTib 0x10 FiberData 0x14 ArbitraryUserPointer 0x18 FS段寄存器在内存中的镜像 0x2...
TEB
qq_39249347的博客
09-03 1803
TEB线程环境,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应一个TEB结构体。 Windows7中的TEB结构体成员。 +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //进程的pid +0x028 ActiveRpcHandle : Ptr3.
TEB_DWA.rar
05-24
局部路径规划是机器人导航系统中的关键技术之一,它旨在让机器人在复杂的环境中找到一条从起点到目标点的安全且有效的路径。本压缩包“TEB_DWA.rar”包含了对两种广泛使用的局部路径规划算法——时间最优边距(Time-...
teb_local_planner_tutorials-kinetic_teb完整机器人_ROS_TEB路径_
09-29
通过学习并实践"teb_local_planner_tutorials-kinetic_teb"提供的内容,开发者可以更好地理解Teb Local Planner的工作原理,并能灵活应用到实际的机器人项目中,实现更智能、更安全的路径规划。
易语言获取“TEB/PEB结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
teb_local_planner.zip
07-18
"teb_local_planner"就是这样一个ROS本地规划器,专门针对具有Ackermann转向结构的车辆设计。 Ackermann转向系统常见于汽车,它的前轮和后轮转向角度不同,能够提供更好的直线行驶稳定性和转向灵活性。在ROS中,...
teb选项卡菜单
04-21
teb可选项卡式菜单,方便网页内容的填充
PEB TEB结构体使用
左手
08-02 4786
PEB TEB结构体属于windows平台进程的一个重要数据结构,使用windbg查看结构体信息及相关结构体成员信息的利用
TEB结构思考
stonesharp的专栏
11-08 4598
在网上看到的一篇文章如下: TEBPEB结构分析,如阿燐燐所诉FS寄存器指向当前活动线程TEB结构线程结构)    用OD打开一个任意程序可以看到FS段寄存器的状况,其中选择子是003B,在GDT中的起始位置是7FFDF000,大小是00FFFFFF,是一个RING3的调用门。 在数据窗口中跟踪7FFDF000然后以长型地址的方式查看数据,可以完整的看到TEB结构
TEB,PEB,LDR结构
yeanhoo的博客
10-15 2020
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
TEB结构说明
IT男也疯狂
05-25 9110
kd> dt _teb nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID :1.可以得到当前进程的ID,我们应该这样子得到呢? +0x028 ActiveRpcHandle : Ptr3
SEH 机制探索1 --- TEB 结构
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1359
SEH 机制探索1 --- TEB 结构 在 windows 中的 SEH(Structured Exception Handling)结构化异常处理需要使用 TIB(Thread Information Block)线程信息的 _EXCEPTION_REGISTRATION_RECORD结构。而 TIB 结构包括在 TEB(Thread Environment Block) 结构下,
KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模机制动态获取 《寒江独钓》内核学习笔记(5)...
weixin_33972649的博客
12-04 273
目录 1. 相关阅读材料 2. 《加密与解密3》 3. [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Handling.pdf 4. 《0 DAY安全: 软件漏洞分析技术》   2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象)。再次重复说明一点: win...
8.1 TEBPEB概述
最新发布
CSDN
09-25 7704
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB中包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
teb,peb 数据结构原型
weixin_34128501的博客
05-18 262
为什么80%的码农都做不了架构师?>>> ...
matlab teb
09-09
中提到了一个名为TEB算法的matlab程序包。TEB算法是一种路径规划算法,它主要用于机器人在动态环境中规划最优的运动轨迹。该算法提供了详细的文档和代码分析,可以帮助用户深入理解和应用TEB算法。 此外,中提到了关于TEB算法源码的一系列文章,这些文章分为多个篇章,作者对源码进行了详细的讲解,并提供了中文注释的代码,这对深入研究和理解TEB算法的人来说非常有帮助。如果你对TEB算法感兴趣,可以去阅读这些文章,地址为TEB算法。 根据的信息,在TEB算法的node文件中,最后进行了对TEB算法的实例化操作,通过传递参数来配置TEB算法的运行环境。这个实例化的操作通常在程序的主函数中进行,在实例化之后,TEB算法就可以被调用和使用了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值