TEB和PEB

最新推荐文章于 2023-11-07 16:51:31 发布
最新推荐文章于 2023-11-07 16:51:31 发布
阅读量538 收藏
点赞数
分类专栏:
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuqi7/article/details/118254578
版权

TEB和PEB

TEB

TEB, Thread Environment Block, 线程环境块,描述了线程的状态

typedef struct _TEB {
  PVOID Reserved1[12];
  PPEB  ProcessEnvironmentBlock;
  PVOID Reserved2[399];
  BYTE  Reserved3[1952];
  PVOID TlsSlots[64];
  BYTE  Reserved4[8];
  PVOID Reserved5[26];
  PVOID ReservedForOle;
  PVOID Reserved6[4];
  PVOID TlsExpansionSlots;
} TEB, *PTEB;

PEB

PEB, Process Enviroment Block, 进程环境块,包含系统与当前进程关联的用户模式下的所有参数

typedef struct _PEB {
  BOOLEAN                 InheritedAddressSpace;
  BOOLEAN                 ReadImageFileExecOptions;
  BOOLEAN                 BeingDebugged;
  BOOLEAN                 Spare;
  HANDLE                  Mutant;
  PVOID                   ImageBaseAddress;
  PPEB_LDR_DATA           LoaderData;
  PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
  PVOID                   SubSystemData;
  PVOID                   ProcessHeap;
  PVOID                   FastPebLock;
  PPEBLOCKROUTINE         FastPebLockRoutine;
  PPEBLOCKROUTINE         FastPebUnlockRoutine;
  ULONG                   EnvironmentUpdateCount;
  PPVOID                  KernelCallbackTable;
  PVOID                   EventLogSection;
  PVOID                   EventLog;
  PPEB_FREE_BLOCK         FreeList;
  ULONG                   TlsExpansionCounter;
  PVOID                   TlsBitmap;
  ULONG                   TlsBitmapBits[0x2];
  PVOID                   ReadOnlySharedMemoryBase;
  PVOID                   ReadOnlySharedMemoryHeap;
  PPVOID                  ReadOnlyStaticServerData;
  PVOID                   AnsiCodePageData;
  PVOID                   OemCodePageData;
  PVOID                   UnicodeCaseTableData;
  ULONG                   NumberOfProcessors;
  ULONG                   NtGlobalFlag;
  BYTE                    Spare2[0x4];
  LARGE_INTEGER           CriticalSectionTimeout;
  ULONG                   HeapSegmentReserve;
  ULONG                   HeapSegmentCommit;
  ULONG                   HeapDeCommitTotalFreeThreshold;
  ULONG                   HeapDeCommitFreeBlockThreshold;
  ULONG                   NumberOfHeaps;
  ULONG                   MaximumNumberOfHeaps;
  PPVOID                  *ProcessHeaps;
  PVOID                   GdiSharedHandleTable;
  PVOID                   ProcessStarterHelper;
  PVOID                   GdiDCAttributeList;
  PVOID                   LoaderLock;
  ULONG                   OSMajorVersion;
  ULONG                   OSMinorVersion;
  ULONG                   OSBuildNumber;
  ULONG                   OSPlatformId;
  ULONG                   ImageSubSystem;
  ULONG                   ImageSubSystemMajorVersion;
  ULONG                   ImageSubSystemMinorVersion;
  ULONG                   GdiHandleBuffer[0x22];
  ULONG                   PostProcessInitRoutine;
  ULONG                   TlsExpansionBitmap;
  BYTE                    TlsExpansionBitmapBits[0x80];
  ULONG                   SessionId;
} PEB, *PPEB;

比较关心这个:

typedef struct _PEB_LDR_DATA {
  ULONG                   Length;
  BOOLEAN                 Initialized;
  PVOID                   SsHandle;
  LIST_ENTRY              InLoadOrderModuleList;
  LIST_ENTRY              InMemoryOrderModuleList;
  LIST_ENTRY              InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

三个list都是双链表,区别是模块的排列顺序不同

typedef struct _LIST_ENTRY {
   struct _LIST_ENTRY *Flink;
   struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

每个模块记录的信息

typedef struct _LDR_MODULE {
  LIST_ENTRY              InLoadOrderModuleList;
  LIST_ENTRY              InMemoryOrderModuleList;
  LIST_ENTRY              InInitializationOrderModuleList;
  PVOID                   BaseAddress;
  PVOID                   EntryPoint;
  ULONG                   SizeOfImage;
  UNICODE_STRING          FullDllName;
  UNICODE_STRING          BaseDllName;
  ULONG                   Flags;
  SHORT                   LoadCount;
  SHORT                   TlsIndex;
  LIST_ENTRY              HashTableEntry;
  ULONG                   TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

FullDllName是dll的名称

windbg获取相关信息

# 展示teb信息
!teb
# 展示peb信息
!peb
# 展示teb结构
dt _teb
# 展示peb结构
dt _peb

# 查看peb地址,输出的第一行就有peb地址
!peb
# 假设peb地址为000007fffffd9000,映射地址到结构体并显示
dt _peb 000007fffffd9000
# 以_PEB_LDR_DATA结构体形式显示0x77432e40地址处的数据,深度为1
dx -r1 ((ntdll!_PEB_LDR_DATA *)0x77432e40)
# 以_LIST_ENTRY结构体形式显示0x77432e50地址处的数据
dx -r1 (*((ntdll!_LIST_ENTRY *)0x77432e50))
# 以_LDR_DATA_TABLE_ENTRY结构体形式显示0x77432e50地址处的数据
dx -r1 (*((ntdll!_LDR_DATA_TABLE_ENTRY *)0x77432e50))

_LDR_DATA_TABLE_ENTRY 是 _LIST_ENTRY 的延展

参考链接:

  1. https://docs.microsoft.com/en-us/windows/win32/api/winternl/ns-winternl-teb
  2. https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/-peb
  3. http://undocumented.ntinternals.net/index.html?page=UserMode/Undocumented Functions/NT Objects/Process/PEB.html
  4. http://undocumented.ntinternals.net/index.html?page=UserMode/Structures/LDR_MODULE.html

2021/6/20

xuqi7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
易语言获取“TEB/PEB”结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1359
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
Windows探究TEBPEB
qq_30528603的博客
09-03 509
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
8.1 TEBPEB概述
CSDN
09-25 7584
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境块`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境块`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB中包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
TEBPEB学习记录(一)
QXinHan的博客
11-07 441
TEBPEB的学习记录
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程。
汇编取程序ID和名字-易语言
06-12
首先,我们要理解“TEB(Thread Environment Block)”和“PEB(Process Environment Block)”这两个重要的Windows系统数据结构。TEB是每个线程特有的,存储了线程的环境信息,如线程局部存储、异常处理、安全属性...
TEBaPEB.rar_Windows编程_Windows_Unix_
08-11
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是两个非常重要的数据结构,它们用于管理进程和线程的状态信息。这个名为"TEBaPEB.rar"的压缩包文件包含了关于这两个概念...
精选_修改指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
2. **查找PEB地址**:通过ReadProcessMemory函数读取进程的TEB(Thread Environment Block)地址,因为TEB中保存了PEB的指针。 3. **修改PEB中的信息**:再次使用ReadProcessMemory读取PEB结构,找到PathName和...
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1654
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
反调试/反汇编技术、TEB/PEB部分说明
qq_18811919的博客
02-05 1452
反调试技术 WindowsAPI ISDebuggerPresent 查询PEB进程环境块中的ISDebugged标志 CheckRemoteDebuggerPresent 类似于IsDebuggerPresent函数,但是也可以检查其他进程 NtQueryInfomationProcess 提取一个给定进程的信息,第一个参数是进程句柄,第二个参数告诉我们它需要提取的进程信息类型,参数设置为ProcessDebugPort将会告诉你这个句柄标识的进程是否被调试 手动检查数据结构 (1)检查BeingDebu
TEBPEB的知识复习
小渣渣的博客
06-06 2199
fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.
【调试技术】用户态查看PEBTEB
此地无银
11-03 429
概述:用户态查看进程 PEBTEB(通过windbg附加或启动调试的exe)
TEBPEB结构定位、PE结构导入表与导出表定位
摔不死的笨鸟的博客
08-10 852
TEB定位 PE导入表导出表定位PEB定位到模块基址PE定位到导出表PE定位到导入表 对于windows可执行文件的研究与学习,学会TEB PEB结构以及PE结构是必经之路。 PEB定位到模块基址 使用Windbg和OD同时分析软件 线程环境块 TEB+0X30==PEB ProcessEnvironmentBlock进程环境块 三个入口点我们取了第三个...
PEB,TEB初学.
fun0526的专栏
08-21 6638
<br /><br />TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$t
PEB and TEB PEB and TEB(A-Z)
波波诸葛伟
01-08 495
PEB and TEB PEB and TEB PEB = Process Environment Block –basic image information (base address, version numbers, module list) –process heap information –environment variables –command-line parame
FS TIB TEB PEB
jiangtongcn的专栏
08-23 4950
本篇发表我的TEBPEB的一些见解,我把它图形化了,更形象便于理解。 首先对于TIB TEB PEB的概念我引用一下别人的blog了,以下内容取自看雪: TEB(Thread Environment Block,线程环境块):系统在此TEB中保存频繁使用的线程相关的数据
PEB TEB结构体使用
左手
08-02 4766
PEB TEB结构体属于windows平台进程的一个重要数据结构,使用windbg查看结构体信息及相关结构体成员信息的利用
APF算法和TEB算法的比较
最新发布
01-30
根据引用[1]和引用的内容,APF算法(人工势场法)和TEB算法(时间最优边界)是两种用于路径规划和避障的算法。下面是它们的比较: APF算法是一种基于人工势场的算法,它通过在环境中引入吸引力和斥力来生成路径。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值