PEB,TEB初学.

最新推荐文章于 2024-06-29 13:24:16 发布
转载 最新推荐文章于 2024-06-29 13:24:16 发布 · 6.8k 阅读 · 4
文章标签:

#thread #windows #扩展 #存储

TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$thread取得TEB地址。

 

 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。在Win 2000下,进程环境块的地址对于每个进程来说是固定的,在0x7FFDF000处,这是用户地址空间,所以程序能够直接访问。准确的PEB地址应从系统的EPROCESS结构的0x1b0偏移处获得,但由于EPROCESS在系统地址空间,访问这个结构需要有ring0的权限。还可以通过TEB结构的偏移0x30处获得PEB的位置,FS段寄存器指向当前的TEB结构:

mov eax,fs:[0x30]

mov PEB,eax

在用户态下WinDbg中可用命令$proc取得PEB地址。

 

图一:PEB和TEB

PEB和TEB - U-Gun - 阿甘的博客

图二:进程和线程

PEB和TEB - U-Gun - 阿甘的博客

 

KPCR(Kernel's Processor Control Region,内核进程控制区域)是一个不会随WINDOWS版本变动而改变的固定结构体,在它的末尾(偏移0x120)指向KPRCB结构。KPRCB同样是一个不会随WINDOWS版本变动而改变的固定结构体。它包含有指向当前KTHREAD的指针(偏移值0x004)。ETHREAD的第一项是KTHREAD,也就知道了当前的ETHREAD基地址。KTHREAD中的_KAPC_STATE结构包含当前KPROCESS的地址每个进程都有一个EPROCESS结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS结构位于系统地址空间,所以访问这个结构需要有ring0的权限。EPROCESS的第一项是KPROCESS。

 

fun0526
关注
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
PEB TEB结构体使用
左手
08-02 4971
PEB TEB结构体属于windows平台进程的一个重要数据结构,使用windbg查看结构体信息及相关结构体成员信息的利用
TEBPEB
南宫封清的博客
04-11 3495
TEB(Thread Environment Block,线程环境块) 线程环境块中存放着进程中所有线程的各种信息 TEB的访问方法 ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针 NtCurrentTeb() 函数所返回的结构体指针即为 fs:[0x18] 的值,里面的值即为TEB的结构体指针,fs:[0]的值即为TEB的起始地址 nt!_TEB ...
PEBTEB资料整合
weixin_30591551的博客
01-07 422
一、概念   TEBThread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的...
Windows探究TEBPEB
qq_30528603的博客
09-03 898
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB地址
易语言获取“TEB/PEB”结构体成员值数据
06-06
Windows操作系统中,TEBThread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
1. WinDbg概述
最新发布
Login255的博客
06-29 6990
授之以鱼不如授之以渔,我们用一篇文章介绍了WinDbg的基本使用。我们并没有一个命令一个命令去讲解命令含义,相反,我们介绍了如何查所有的基本命令、元命令和扩展命令,介绍了如何使用帮助来查各个命令的使用方法。知道了方法以后,大家完全可以自学WinDbg软件的使用了,遇到问题就查帮助。相信随着使用次数的增加,对WinDbg功能的领会就会越来越深,逐步实现量变到质变。以后的文章中,除非特别必要,否则我不会再介绍WinDbg的具体命令含义了,而会聚焦于如何使用各种工具去调试、分析和学习.NET程序。
易语言-汇编取程序ID和名字
06-25
"易语言-汇编取程序ID和名字"的主题涉及到Windows操作系统中的线程环境块(TEB)和进程环境块(PEB),这些都是核心概念。让我们深入探讨这些知识点。 首先,易语言是一种中国本土开发的编程语言,它旨在简化编程...
数字媒体技术导论……刘清堂主编
12-28
包含章节:课后习题答案 第1章数字媒体技术概论 1.1媒体及其特性 1.1.1媒体概念 1.1.2媒体特性 1.2数字媒体及其特性 1.2.1数字媒体概念 1.2.2数字媒体特性 1.2.3数字媒体传播模式 1.3数字媒体技术的研究领域 1.3.1数字媒体内容产业 1.3.2数字媒体技术发展趋势 1.3.3数字媒体技术研究领域 1.3.4数字媒体应用领域 练习与思考 第2章数字音频技术基础 2.1音频技术及其特性 2.1.1音频的概念及特性 2.1.2模拟音频记录设备及特性. 2.1.3模拟音频处理设备 2.2音频数字化 2.2.1数字音频 2.2.2音频的数字化过程 2.3数字音频质量及格式 2.3.1音频数据率及质量 2.3.2声音文件格式 2.4数字音频的编辑技术 2.4.1数字音频的编辑方式 2.4.2数字音频设备 2.4.3数字音频编辑软件简介 2.4.4数字音频编辑实例 2.5数字音频技术应用 练习与思考 第3章数字图像的处理技术 3.1图像颜色模型 3.1.1视觉系统对颜色的感知 3.1.2RGB颜色模型 3.1.3CMYK颜色模型 3.1.4HSB颜色模型 3.1.5YUV与YIQ颜色模型 3.1.6CIELab颜色模型 3.2彩色空间的线性变换 3.2.1YUV与RGB彩色空间变换 3.2.2YIQ与RGB彩色空间变换 3.2.3HSI(HSB)与RGB之间的转换 3.2.4YCrCb与RGB彩色空间变换 3.3图像的基本属性及种类 3.3.1分辨率 3.3.2颜色深度 3.3.3真彩色、伪彩色与直接色 3.3.4图像的大小及种类 3.4数字图像的获取技术 3.4.1位图的获取设备与技术 3.4.2矢量图的获取设备与技术 3.5图像创意设计与编辑技术 3.5.1图像处理软件简介 …… 第4章数字视频及编辑 第5章数字动画技术 第6章游戏设计技术 第7章数字媒体的Web集成与应用 第8章数字媒体压缩技术 第9章数字媒体存储技术 第10章数字媒体管理与保护 第11章数字媒体的传输技术 第12章数字媒体技术发展趋势
TEBPEB 、SEH
墨鱼菜鸡
09-09 148
TEBPEB再到SEH(一)从TEBPEB再到SEH(二)
TEBPEB学习记录(一)
QXinHan的博客
11-07 948
TEBPEB的学习记录
【调试技术】【入门】用户态查看PEBTEB
此地无银
11-03 822
概述:用户态查看进程 PEBTEB(通过windbg附加或启动调试的exe)
Windows10下的TEBPEB的分析
塔塔的日记
11-15 1889
TEB:线程环境块(Thread Environment Block),PEB是进程环境块(Process Environment Block)。
TEBPEB的知识复习
小渣渣的博客
06-06 2349
fs:[0x18]指向的是TEB自身, fs[0x30]就是PEB所在的位置.
8.1 TEBPEB概述
优快云
09-25 8816
在开始使用`TEB/PEB`获取进程或线程ID之前,我想有必要解释一下这两个名词,PEB指的是进程环境块`(Process Environment Block)`,用于存储进程状态信息和进程所需的各种数据。每个进程都有一个对应的`PEB`结构体。TEB指的是线程环境块`(Thread Environment Block)`,用于存储线程状态信息和线程所需的各种数据。每个线程同样都有一个对应的`TEB`结构体。PEB中包含了进程的代码、数据段指针、进程的环境变量、进程启动参数信息以及加载的dll信息等。P
四种方法获取TebPeb
QXinHan的博客
12-05 2918
操作系统3 ————PCB和进程控制
冰炭不投day的博客
02-02 1万+
操作系统3 ————进程控制块(PCB)详解 一.目录 操作系统3 ————进程控制块(PCB)详解 一.目录 二. 进程控制块 1.概述 2.进程控制块中的信息 3.进程控制块的作用 4.进程控制块的组织方式 三.Linux的进程控制块 1.概述 2.task_struct数据结构简述 四.Unix的进程控制块 1.概述 2.进程表项(Proc表) 3.U区 4.系统区表 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值