获取进程基址小技巧(傀儡进程)

最新推荐文章于 2024-02-27 11:18:22 发布
原创 最新推荐文章于 2024-02-27 11:18:22 发布 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#获取进程基址 #傀儡进程 #Process Hollow

本文介绍了一种在创建傀儡进程时,通过GetThreadContext函数直接获取PEB地址的方法,避免了使用未导出NT函数NtQueryInformationProcess的复杂过程。通过解析线程上下文的Ebx寄存器,结合PEB结构的特定偏移,可以快速定位并读取目标进程的加载基址。

创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。

其实可以直接通过GetThreadContext这个函数来直接获取PEB地址,获取的CONTEXT.Ebx寄存器中保存的就是PEB地址。

typedef struct __PEB {
    BYTE InheritedAddressSpace;
    BYTE ReadImageFileExecOptions;
    BYTE BeingDebugged;
    BYTE SpareBool;
    void* Mutant;
    void* ImageBaseAddress;  // offset 0x08
    _PEB_LDR_DATA* Ldr;
    /*....*/
}MYPEB, *PMYPEB;

得知PEB结构偏移0x8的位置就是进程加载基址,在获取线程上下文后,直接用ebx的内容+8,再通过ReadProcessMemory读取4个字节,就可以得到被挂起进程的基址了。

测试代码:

   // 获取线程上下文
    CONTEXT ctx = { 0 };
    ctx.ContextFlags = CONTEXT_ALL;
    if (!GetThreadContext(pi.hThread, &ctx))
    {
        printf("GetThreadContext failed (%d).\n", GetLastError());
    }

    // 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
    // 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
    // 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
    DWORD dwImageBase =  0;
    DWORD lpNumberOfBytesRead = 0;
    if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
    {
        printf("ReadProcessMemory failed (%d).\n", GetLastError());
        return;
    }

在这里插入图片描述

使用 C++ 在当前进程获取指定模块的基址
qq_62989250的博客
05-30 1344
使用 C++ 在当前进程获取指定模块的基址
c语言如何找到进程基址,从0开始学模拟挂()--找内存基址,包含原理 _ 脚本
weixin_30394975的博客
05-21 2534
PS:12楼的兄弟,不能回到选择人物画面,那你就换个地图试试,也可以请看下篇,找内存基址方法(),有人问怎么自动加血,我板凳帖子里不是有了,读取血内存地址的代码了吗?把那份代码,你用两次,第一次读取出来的数值作为最大血值,再用一次来读取,当前血量。然后你加个判断if 当前红then 喝药快捷键(有兴趣的同志可以自己用CALL)ENd if另外补充。。我一般很少写挂,除非是没挂的游戏(中国特色估计...
读取进程基址
04-02
读取进程基址.ec
通过进程ID获取基地址
weixin_34221775的博客
01-08 556
下面代码是通过进程ID来获取进程的基地址,创建一个进程快照后,读取进程模块,一般情况下第一个模块就是进程的基地址,下面的程序通过模块的字符串匹配来找到基地址。通过MODULEENTRY32来读取,下面是代码: #include <Windows.h> #include <Tlhelp32.h> #include <stdio.h> HMO...
[源码和文档分享]获取指定进程的加载基址
qq_38474647的博客
12-25 569
背景 之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本...
获取进程基址
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程基址。 然而在x64
精选资源
游戏进程基址获取源码-易语言
06-12
最近在写一款游戏的喊话器,一天一变call的地址 , 于是就写了这个基址获取的,基址+偏移=真正的基址 蜀山飘渺 [[[ssol.exe+DCFA14]+34]+90]F 键的时候ecx [[[[[ssol.exe+DCFA14]+34]+08]+000003B4]+00000430] 喊话...
易读言读取进程基址
02-05
标识, 0) // 获取进程基址 ``` 这里,`.进程.信息`用于获取进程信息,`.进程.信息.标识`用于获取进程ID,`.内存.读取长整型`则用于从指定地址读取长整型数据,也就是进程的基地址。 对于DLL,情况稍微复杂一些,...
获取进程基址
经典的误导的专栏
12-06 8645
直接上我写KingDom Rush外挂的代码,一开始想法是直接在内存中定位到关键汇编代码,直接在内存中改写就可以了。 发现基址和定位的关键汇编地址没有任何联系,可能是随机分配的缘故吧。不过还是纪录一下这种方法 #include #include #include #include using namespace std; bool changeAsm(HANDLE mproc, DWORD
易语言取模块基址
07-21
易语言取模块基址源码,取模块基址,取进程模块,读模块基址,十六转十进制,十转十六进制,wvsprintf,StrToIntEx
C++实现获取模块在进程中地址
06-04
C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址C++实现获取模块在进程中地址
获取指定进程的加载基址
m0_46135508的博客
07-13 5185
背景之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
怎样获得某个进程的内存基地址?
weixin_33728708的博客
01-08 1500
#include <iostream> #include <windows.h> #include <Tlhelp32.h.> using namespace std; int main() { HANDLE h= CreateToolhelp32Snapshot(8, 780); MODULEENTRY32 me; ...
在C++中找到进程中所加载的某一模块的基地址
最新发布
qq_35320456的博客
02-27 2626
在C++中找到进程中所加载的某一模块的基地址
Windows编程 - 获取运行程序的基地址
weixin_34220623的博客
02-13 669
获取运行程序的基地址(base address) 本文地址:http://blog.youkuaiyun.com/caroline_wendy/article/details/19162821 加载到进程地址空间的每一个可执行文件(exe)或动态链接库(dll), 都包含一个实例句柄(HINSTANCE); (w)WinMain的hInstanceExe参数的实际...
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3439
PEB进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
掌握易语言实现模块基址获取技巧
总结而言,易语言模块基址获取涉及到操作系统核心概念、编程实践以及易语言特有的编程技巧。掌握这一知识点,对于进行Windows系统级开发或安全分析的人员来说,是非常有价值的。通过封装好的易语言函数,可以有效地...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值