获取进程基址小技巧(傀儡进程)

最新推荐文章于 2025-05-07 09:51:00 发布
最新推荐文章于 2025-05-07 09:51:00 发布
阅读量2.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 心情杂货铺 文章标签: 获取进程基址 傀儡进程 Process Hollow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/97642863
本文介绍了一种在创建傀儡进程时,通过GetThreadContext函数直接获取PEB地址的方法,避免了使用未导出NT函数NtQueryInformationProcess的复杂过程。通过解析线程上下文的Ebx寄存器,结合PEB结构的特定偏移,可以快速定位并读取目标进程的加载基址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。

其实可以直接通过GetThreadContext这个函数来直接获取PEB地址,获取的CONTEXT.Ebx寄存器中保存的就是PEB地址。

typedef struct __PEB {
    BYTE InheritedAddressSpace;
    BYTE ReadImageFileExecOptions;
    BYTE BeingDebugged;
    BYTE SpareBool;
    void* Mutant;
    void* ImageBaseAddress;  // offset 0x08
    _PEB_LDR_DATA* Ldr;
    /*....*/
}MYPEB, *PMYPEB;

得知PEB结构偏移0x8的位置就是进程加载基址,在获取线程上下文后,直接用ebx的内容+8,再通过ReadProcessMemory读取4个字节,就可以得到被挂起进程的基址了。

测试代码:

   // 获取线程上下文
    CONTEXT ctx = { 0 };
    ctx.ContextFlags = CONTEXT_ALL;
    if (!GetThreadContext(pi.hThread, &ctx))
    {
        printf("GetThreadContext failed (%d).\n", GetLastError());
    }

    // 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
    // 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
    // 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
    DWORD dwImageBase =  0;
    DWORD lpNumberOfBytesRead = 0;
    if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
    {
        printf("ReadProcessMemory failed (%d).\n", GetLastError());
        return;
    }

在这里插入图片描述

在C++中找到进程中所加载的某一模块的基地址
qq_35320456的博客
02-27 2331
在C++中找到进程中所加载的某一模块的基地址
读取进程基址
04-02
读取进程基址.ec
通过进程ID获取基地址
weixin_34221775的博客
01-08 537
下面代码是通过进程ID来获取进程的基地址,创建一个进程快照后,读取进程模块,一般情况下第一个模块就是进程的基地址,下面的程序通过模块的字符串匹配来找到基地址。通过MODULEENTRY32来读取,下面是代码: #include <Windows.h> #include <Tlhelp32.h> #include <stdio.h> HMO...
掌握PEB结构:通过汇编获取系统关键基址
最新发布
weixin_36289813的博客
05-07 627
PEBProcess Environment Block,进程环境块)是Windows操作系统中一个非常重要的数据结构,它包含了当前进程运行时所需的各种环境信息。PEB作为Windows内部机制的一部分,为程序员提供了一种获取和操作进程信息的手段,尤其是当涉及到调试和安全分析时,PEB成为了不可或缺的工具。在x86架构中,FS和GS是两个专门的段寄存器,通常用于实现与硬件或操作系统相关的特定功能。
[源码和文档分享]获取指定进程的加载基址
qq_38474647的博客
12-25 542
背景 之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本...
获取进程基址
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程基址。 然而在x64
获取进程基址
经典的误导的专栏
12-06 8591
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基址和定位的关键汇编地址没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
获取指定进程的加载基址
m0_46135508的博客
07-13 4906
背景之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
怎样获得某个进程的内存基地址?
weixin_33728708的博客
01-08 1483
#include <iostream> #include <windows.h> #include <Tlhelp32.h.> using namespace std; int main() { HANDLE h= CreateToolhelp32Snapshot(8, 780); MODULEENTRY32 me; ...
易语言取模块基址
07-21
易语言取模块基址源码,取模块基址,取进程模块,读模块基址,十六转十进制,十转十六进制,wvsprintf,StrToIntEx
C++实现获取模块在进程中地址
06-04
C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址
Windows编程 - 获取运行程序的基地址
weixin_34220623的博客
02-13 647
获取运行程序的基地址(base address) 本文地址:http://blog.youkuaiyun.com/caroline_wendy/article/details/19162821 加载到进程地址空间的每一个可执行文件(exe)或动态链接库(dll), 都包含一个实例句柄(HINSTANCE); (w)WinMain的hInstanceExe参数的实际...
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3371
PEB进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
C/C++ 学习日记5:获取进程里的指定模块的地址 源码
二狗子的Blog
09-03 2904
直接上源码,对应什么库以及函数的作用,自己查MSDN 在此感谢群里的三位大佬 //取指定进程PID里DLL的地址 HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName) { MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::...
C++ 获取线程入口地址、所在模块
墨鱼菜鸡
08-20 336
大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 … 今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新...
C/C++ 获取线程入口地址模块等
优快云
07-16 9439
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值