【安全报告】揭秘创建进程时ebx为什么指向peb的答案

最新推荐文章于 2025-04-26 16:23:40 发布
原创 最新推荐文章于 2025-04-26 16:23:40 发布 · 551 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #python #网络安全 #计算机网络

本文深入探讨了在Windows系统中创建进程时,为何eax指向新OEP,ebx指向新PEB的原因。通过分析XP和Win7下的CreateProcessInternalW流程,揭示了进程创建和线程上下文初始化的过程,涉及Ring3和Ring0的交互,以及PE文件结构解析。

在这里插入图片描述

一、背景

为了确保被替换后的进程能顺利执行不崩溃,需要获取原进程各种上下文,并修改被替换后的新进程上下文,其中在原进程被挂起还没开始执行的时候,需要将eax指向新oep,而ebx指向新peb,而为什么这样设置的原因却很少有人提及。为此,在经过查阅了一定的资料与简单的分析后,我们可以找到答案。

二、具体分析

先抛出结论,这里的eax与ebx属于线程上下文信息,在一个PE文件开始被运行的过程中,主线程上下文初始化过程是在进程已经创建完成,而主线程还没创建的阶段发生的,下面是具体更详细的分析:

首先我们需要对进程的创建有一个大概的认识,在ring3下创建进程API无非是CreateProcessA/W,但是无论调用哪一个,最终都会将相关参数转化为Unicode字符串,并最终调用CreateProcessInternalW,因此以下将主要分析CreateProcessInternalW,而在xp和win7下,它具体实现又有一些不一样的地方。

2.1 XP下执行流程
在xp下,它大概分为四个部分,分别是ring3下创建进程,ring0下创建进程,ring3下创建线程,ring0下创建线程,以NtCreateProcessEx为分界线,NtCreateProcessEx之前为ring3下创建进程主要流程。

2.1.1 Ring3下创建进程

  1. 判断处理dwCreationFlag各种标志位,包括是否包含不合法标记组合,判断优先级。
    在这里插入图片描述
  2. 判断lpEnvironment是否为空,不为空则调用RtlAnsiStringToUnicodeString将其转为UniCode字符串。
    在这里插入图片描述
  3. 判断lpApplicationName、lpCommandLine是否为空。
    在这里插入图片描述
    如果lpApplicationName不为空直接调用RtlDosPathNameToNtPathName_U函数将DOS路径(C:\WINDOWS\XXX)转换为NT路径(\Device\HarddiskVolume1\WINDOWS\XXX),为空则会解析lpCommandLine,主要按照’”’引号,’ ’空格,’\t’制表符作为分隔符进行解析并获取相应的PE文件,然后将DOS路径转换为NT路径。

在这里插入图片描述

最低0.47元/天 解锁文章
C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编?
dvlinker的技术专栏
10-09 15万+
本文详细讲解了C++程序员为什么要了解汇编,了解汇编都有哪些具体的好处,如何学习汇编,以及如何看懂汇编代码上下文等,希望能给大家提供一定的借鉴或参考。
Linux内核进程管理子系统有什么第七十回 —— 进程主结构详解(66)
最新发布
phmatthaus的专栏
10-31 1527
Linux内核进程管理子系统有什么第七十回 —— 进程主结构详解(66)
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 2025
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
ebx 与 ebp的作用 ---- 总线接口部件
happylzs2008的专栏
11-22 2368
ebx是基址寄存器,比如存放的数组的首地址。 https://wenda.so.com/q/1537807204213369 很简单的啊,基址寄存器存放的是相当于某内存空间的首地址,而基址指针存放的是偏移量,类似其他编程语言中的索引,不同的是基址指针的单位是字节,而索引的单位是依赖于数据类型宽度,比如C++中int类型的宽度为4字节,因此索引必须乘以4才能换算成字节单位。 假设BX=1000,BP=102 ,则 计算后的地址为 BX+BP=1102;而如果假设数组int A[XXXX]的首地址也是.
EAX、ECX、EDX、EBX寄存器的作用
tiger_ibm的专栏
04-02 1万+
一般寄存器:AX、BX、CX、DX AX:累积暂存器,BX:基底暂存器,CX:计数暂存器,DX:资料暂存器 索引暂存器:SI、DI SI:来源索引暂存器,DI:目的索引暂存器 堆叠、基底暂存器:SP、BP SP:堆叠指标暂存器,BP:基底指标暂存器 EAX、ECX、EDX、EBX:為ax,bx,cx,dx的延伸,各為32位元 ESI、EDI、ESP、EBP:為si,di,
汇编语言寄存器说明eax, ebx, ecx, edx, esi, edi, ebp, esp,eip
turbocc 因程序而激情
05-21 9045
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。 比方说:add eax,-2; //可以认为是给变量eax加上-2这样的一个值。 这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。 EAX是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。 EBX是"基地址"(base)寄存器, 在内存寻址存放基地...
EAX、ECX、EDX、EBX、ESP和EDP寄存器的功能和作用
2402_87406177的博客
04-26 1535
EAX是一个32位寄存器(即它的大小为32位),并且在许多指令中是隐式使用的,尤其是涉及到乘法和除法的指令。总结一下,EAX、ECX、EDX、EBX、ESP和EDP(或EDI)是x86架构中的关键寄存器,每个寄存器有其特定的用途,能够帮助高效处理算术运算、内存操作、函数调用等任务。:ECX寄存器通常用于循环计数、字符串操作(例如,REP指令的计数)以及一些其他的寄存器间接操作。:在进行乘法(MUL、IMUL)和除法(DIV、IDIV)运算,EAX寄存器会涉及到高低32位的结果。
E11:UNIX V6++进程创建与父子进程同步(参考答案)1
08-04
当父进程通过fork()创建进程,如果内存资源不足,子进程的映像会存储在磁盘的交换区。在这种情况下,子进程的状态会被设置为SRUN(表示就绪状态)且标志位SSWAP被置位。这意味着子进程需要等待操作系统调度器将...
C/C++程序员为什么要学习汇编?学习汇编有哪些好处?
热门推荐
dvlinker的技术专栏
05-29 4万+
本文详细讲述一个从汇编代码的角度去理解多线程编程问题实例,并详细介绍熟悉汇编代码都有哪些用处。
CreateProcess流程分析
OSReact的专栏
07-12 1779
这个项目是本人在科锐和同学一起完成的项目,各有分工,我的任务是分析CreateProcess从用户态到内核态的整体流程框架(部分函数的具体实现由其他同学的完成)。 声明:由于本人能力有限,文中必然有错漏之处,恳请读者不吝赐教.(第一次写文章) 这里为了方便大家查阅,给出其他同学分析的链接: CreateProcess函数的整体流程分析:http://bbs.pediy.com/s
EBX转换工具
03-09
看后缀为ebx的文件,它就搞定了!
EBX、EXE电子书转TXT软件.r
03-01
EBX、EXE电子书转TXT软件 电子书制作好帮手
进程及线程创建流程
yaozhu88的专栏
12-08 1684
今天在MuseHero的博客看到的资料,先收藏下来,以后慢慢学习,顺便了解一下WINDOWS进程机制。;进程创建过程开始 CreateProcessAcall   kernel32!CreateProcessA ;10个参数; BOOL WINAPI CreateProcess(;   __in_opt     LPCTSTR lpApplicationName,;   __inout_op
汇编语言里 eax, ebx, ecx, edx, esi, edi, ebp, esp这些都是什么意思啊?
懒人的技术笔记
04-01 3万+
 eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accum
通过蜜罐技术获取攻击者手机号、微信号【网络安全
HBohan的博客
03-04 1万+
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
创建函数入栈的ebx、esi和edi有什么用
07-31
创建函数,`ebx`、`esi` 和 `edi` 寄存器在 x86 架构中通常被用作通用寄存器,但它们也有一些特定的用途和约定。 ### EBX 寄存器 `ebx` 寄存器通常被称为基地址寄存器(Base Register)。在函数创建和执行过程中,`ebx` 可以被用作存储数据的通用寄存器。在某些情况下,特别是在使用全局偏移表(Global Offset Table, GOT)进行位置无关代码(Position Independent Code, PIC)的实现,`ebx` 通常被用来保存 GOT 的地址,以便于访问全局数据。这种用法在共享库的实现中非常常见。 ### ESI 寄存器 `esi` 寄存器是源索引寄存器(Source Index Register),主要用于字符串和内存操作。在函数创建,`esi` 通常用于指向源数据的地址,特别是在需要进行数据复制或处理的情况下。例如,在字符串操作中,`esi` 会指向源字符串的起始位置,而 `edi` 则指向目标位置。这种用法使得 `esi` 和 `edi` 成为处理内存拷贝和填充操作的理想选择。 ### EDI 寄存器 `edi` 寄存器是目的索引寄存器(Destination Index Register),与 `esi` 类似,它也用于字符串和内存操作。在函数创建,`edi` 通常用于指向目标数据的地址。例如,在执行字符串复制操作,`edi` 会指向目标缓冲区的起始位置。`esi` 和 `edi` 经常一起使用,以实现高效的内存操作。 在函数调用和执行过程中,这些寄存器的使用可能会受到调用约定(Calling Convention)的影响。不同的调用约定可能规定了哪些寄存器应该由调用者保存,哪些应该由被调用者保存。例如,在某些调用约定下,`ebx`、`esi` 和 `edi` 被认为是“非易失性”寄存器,这意味着如果函数在执行过程中修改了这些寄存器的值,它必须在返回前恢复它们的原始值[^3]。 下面是一个简单的汇编代码示例,展示了如何在函数中使用 `ebx`、`esi` 和 `edi`: ```asm section .data source db 'Hello, World!', 0 dest db 13 dup(0) ; 假设我们要复制13个字节 section .text global _start _start: ; 设置esi为源字符串的地址 lea esi, [source] ; 设置edi为目标缓冲区的地址 lea edi, [dest] ; 设置ecx为要复制的字节数 mov ecx, 13 ; 使用rep movsb指令复制字符串 rep movsb ; 这里可以添加其他代码来处理dest中的数据 ; 退出程序 mov eax, 1 ; sys_exit xor ebx, ebx ; exit code 0 int 0x80 ``` 在这个例子中,`esi` 被用来指向源字符串 `source`,`edi` 被用来指向目标缓冲区 `dest`,而 `ecx` 被用来设置要复制的字节数。`rep movsb` 指令会将 `ecx` 指定的字节数从 `esi` 指向的位置复制到 `edi` 指向的位置。 ### 相关问题 1. 在不同的调用约定下,`ebx`、`esi` 和 `edi` 寄存器的使用规则有何不同? 2. 如何在位置无关代码中使用 `ebx` 寄存器? 3. `esi` 和 `edi` 寄存器在字符串操作之外还有哪些用途? 4. 在函数调用过程中,如何正确保存和恢复 `ebx`、`esi` 和 `edi` 寄存器的值? 5. `esi` 和 `edi` 寄存器在处理大数据块有哪些优化技巧?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值