动态定位 PEB 在 EPROCESS 中的便移量

最新推荐文章于 2022-03-18 22:06:08 发布
原创 最新推荐文章于 2022-03-18 22:06:08 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buffer #system #null #byte #c #im

本文介绍了一种在Windows内核环境中查找进程环境块(PEB)偏移量的方法。通过遍历系统进程信息并检查特定内存区域来定位PEB。此过程确保了即使面对不同系统版本也能找到正确的偏移量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bool GetPEBOffset(ULONG* PEBOffset) EJCKVT  
{ BSO6Z("a7  
     ULONG n,*Buffer,PID,Count=0,i=0; ${iMlcd/,  
     UCHAR* SearchBuffer; Je%)/U  
     PEPROCESS Pr = NULL; ,p:crJ9  
     bool bOK; |bsJ1=U  
     ULONG Array[3]={0,0,0}; n]3|Ca*  
     if(PEBOffset) uGVn}+  
           *PEBOffset=0; > >u R L  
     ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); 9<-0B%8  
     Buffer = (ULONG*)ExAllocatePool(NonPagedPool,n*sizeof(ULONG)); %sKb  
     ZwQuerySystemInformation(SystemProcessInformation,Buffer,n*sizeof(ULONG),0); G]b})kb  
     ULONG Offset = 0; ~$ ]<?5  
     SYSTEM_PROCESS_INFORMATION*P=(SYSTEM_PROCESS_INFORMATION*)Buffer; wZ~{@tIw  
     do LE JKY< H  
     { ~~~)+y  
           P=(SYSTEM_PROCESS_INFORMATION*)((BYTE*)P+Offset); ^8H+P4  
           Offset = P->NextEntryOffset; s$BpH5[=h=  
           PID = PTR_TO_NUM(P->UniqueProcessId); M' ([~  
           if(PID<8)continue; _lA+8%?e  
           Pr = NULL; gf n>~(  
           PsLookupProcessByProcessId(NUM_TO_PTR(PID),&Pr); &n,1JS5}  
           if(Pr) Z #-0(@  
           { IMR1R#u  
                 SearchBuffer=(UCHAR*)Pr; C[Xn"o+h  
                 if(MmIsAddressValid((VOID*)&SearchBuffer[0x150])==false) jxN:  
                       continue;                   a@D>rT*G  
                 if(MmIsAddressValid((VOID*)&SearchBuffer[0x304])==false) K{)h!h4v5  
                       continue; ;LW;HKq<  
                 for(n = 0x150; n < 0x300;n++) n`,'&C$  
                 { a- xa/i(e  
                       if((*(DWORD*)&SearchBuffer[n] & 0x7FFD0FFF)==0x7ffd0000) /=Q N1m  
                       { (1 n_aIz  
                             Array=n; 'qyx"t  
                             i++; U<~WMl8  
                             break;                                     hk.hA  
                       } DJzMwe  
                 } #j_3DT`jb  
                 if(i>=3) FWal&plg  
                       break; ^o-uOOw [  
           } [ i r^&4c  
     }while(Offset); &56@(2S  
     ExFreePool(Buffer); X(zYGWn j  
     bOK=true; | hDYe?gI  
     for(i = 0; i < 3;i++) dM*gm=  
     { ocMktwm~  
           if(Array!=Array[0]) -f~5#6Q]  
           { m G-4F/  
                 bOK=false; wo!rp|>*  
                 break; 9jWO#8&[1  
           } w=4RBNe  
     }       f<JD JTe%{  
     if(bOK) ~CSi@]49  
     { dwR. 4KY  
           if(PEBOffset) 9bSVKv]  
                 *PEBOffset=Array[0]; ai Uk:e  
           DbgPrint("Syser : Find PEB at %x of EPROCESS/n",Array[0]); h[B#cF.3'  
     } j`2zNEO9]  
     return bOK; o 2~bU/  
}  

枚举进程(2)——利用EPROCESS/PEB地址特征进行内存搜索
北极星2003的专栏
06-05 3694
 两个搜索特征:(1)观察所有进程的EProcess结构地址,可以发现都在0x80000000到"system"进程的EPROCESS之间。这就表明所有EPROCESS结构中的peb指针域也应该在这个区间。这就可以大致确定搜索范围。不过在实际测试(xp2)中发现winlogon的EPROCESS大于systemEPROCESS,因此还需要修正搜索范围的最大值。如果对效率要求比较高,还可以把搜索范
WIN7的EPROCESSPEB和WINXPSP3的EPROCESS
kfysck
11-06 5230
WIN7 EPROCESS 这个命令是查看_EProcess结构下面的所有结构体和联合体 dt -r1 _Eprocess lkd> dt nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x098 ProcessLock      : _EX_PUSH_LOCK    +0x0a0 CreateTime       :
EPROCESS ETHREAD PEB重要成员
05-06 235
-----------------------------------------------------------------------win7 x86中---------------------------------------------------------------------------- kd> dt _PEBnt!_PEB +0x000 Inheri...
EPROCESS中搜索ProcessName的偏
收集学习过程中对自己有帮助的牛人文章
11-30 1121
ULONG gProcessNameOffset; void GetProcessNameOffset() { PEPROCESS curproc; int i; curproc = PsGetCurrentProcess(); for( i = 0; i < 3*PAGE_SIZE; i++ ) { if( !strncmp( "System", (PCHAR) curproc
windbg下EPROCESS获取进程加载模块
125096
06-28 2775
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
PEB断链
hongduilanjun的博客
03-18 2164
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位PEBPEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏有一个 Ldr _PEB_LDR_DAT
EPROCESS结构体
最新发布
05-14
同时,引用3提到内核使用LIST_ENTRY链表,可能EPROCESS中的ActiveProcessLinks就是这种链表结构,用于连接所有进程。 接下来,结构体定义部分,用户可能需要知道主要成员,如进程ID、句柄表、PEB地址等。由于...
怎么通过eprocess遍历3环的模块信息
03-30
- 在 `EPROCESS` 结构体中,存在一个成员变 `Peb`,它是一个指针,指向对应进程的 `PEB` 结构。 ```c PEPROCESS TargetProcess; // 假设已经获得了目标进程的 EPROCESS PPEB Peb = (PPEB)((ULONG_PTR)(Target...
windbg怎么通过eprocess遍历3环的模块信息
03-30
接着可以直接转至 PEB 并提取 Ldr 数据成员的位置,Ldr 成员指向的是一个 `_PEB_LDR_DATA` 类型的数据结构,它管理着当前进程中所有的动态库(DLLs)列表: ```plaintext dt nt!_PEB -y Ldr 0xfffff8a00acdf000 ``` #...
暴力搜索内存:EPROCESS结构验证与实现详解
本文主要讨论的是如何通过直接内存搜索枚举来定位和验证进程的EPROCESS(进程控制块)结构,特别是在Windows系统中,特别是5.x内核版本。 在Windows系统中,特别是32位标准内存模式(如WinXP)和PAE(Physical ...
_EPROCESS结构简单了解!
创造神话,实现梦想!
08-13 9869
lkd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1962
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1565
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
进程结构体和线程结构体
kernweak的博客
05-03 1290
首先说明这分析的是XP系统,WIN7每个单元偏略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
在驱动中获取进程全路径
leon
07-19 3170
本文转自 http://xiabl.blog.ccidnet.com/blog.php?do=showone&itemid=129339&typ=blog仅作收藏  在驱动中获取进程全路径系统具备:WinDbg, Windows Symbol Packages (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.msp
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
驱动级别 进程隐藏pid
h1028962069的专栏
08-03 4055
#ifndef CXX_DIRVERPROHIDE_H #include "dirverprohide.h" #endifVOID DriverUnload(__in struct _DRIVER_OBJECT *DriverObject) { KdPrint(("驱动卸载成功!")); KdPrint(("PID = %d", PsGetCurrentProcessId())
进程隐藏的各种方法 以及分析比较以及实现链接
weixin_30588729的博客
09-09 361
典型进程隐藏技术1 基于系统服务的进程隐藏技术在 W I N 9X 系列操作系统中, 系统进程列表中不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表中隐形 在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。 2 基于API HOOK的进程...
详解PID到进程名的转换及伪装
05-15 1917
作者:天杀 很多时候我们都要用到从PID到进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
DLLHiding: 实现PEB技术在Windows中隐藏DLL模块
DLLHiding是一个涉及动态链接库(DLL)隐藏技术的应用程序,其基本功能是在Windows操作系统下的进程中隐藏指定的DLL模块。隐藏DLL技术可以被安全软件或者恶意软件用来防止被检测到其加载的DLL。 2. Windows进程环境块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值