软件调试笔记10 - Windows概要:进程结构:令牌,PEB,ID, 句柄

最新推荐文章于 2024-08-12 23:20:30 发布
最新推荐文章于 2024-08-12 23:20:30 发布
阅读量640 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/imJaron/article/details/78612598
本文介绍了Windows进程的关键组成部分,包括访问令牌的使用和查看方法,PEB(进程环境块)的结构及其在用户空间的作用,SessionId的概念及其在多用户登录场景下的意义,以及进程ID和页目录基地址的作用。此外,还探讨了对象表格,用于句柄到内核对象的映射,并提供了WinDbg的相关命令进行调试和查看。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问令牌

TOKEN字段记录着这个进程的TOKEN结构地址,进程很多与安全有关的信息都在这个结构中。找到TOKEN字段值,然后用!Token命令查看。


也可以用dt nt!_TOKEN加上令牌地址来观察令牌对象。


PEB

PEB即进程环境块,包含了进程的大多数用户态信息。与EPROCESS结构位于内核空间的不同,PEB是在内核态建立后映射到用户空间的,因此在一个系统中,多个进程的PEB地址可能是同一个值。

使用dt _PEB 可以显示PEB的字段及其值。因为PEB位于用户空间,所以内核调试会话中应该用.process命令设置当前的隐含进程。




SessionId:

指该进程所在的WINDOWS会话的ID号。当多个用户同时登录时,WINDOWS会为每个登录用户建立一个会话,每个会话有自己的workstation和桌面。当只有一个用户登录时,用户启动的程序和系统服务都运行在SESSION 0,当切换到另外一个时,系统会建立SESSION 1, 以此类推。


进程ID

Cid即进程ID,又叫client

最低0.47元/天 解锁文章

200万优质内容无限畅学
枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 992
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
34进程与线程之进程结构
qq_18059143的博客
11-29 745
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5486
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
提升进程令牌
rznice的专栏
04-23 1519
众所周知,当我们要结束一个进程时,可以调用WINDOWS API函数TerminateProcess函数。但是,有很多进程依然还是无法结束的,这是因为进程权限不够,这时我们可以给进程提升权限再K掉K不掉的进程。一般进程获取了SeDebugPrivilege权限后都可以杀掉大部分进程了。 //提升进程令牌函数 function AdjustProcessPrivilege(ProcessHand
关于进程访问令牌( access token )
热门推荐
远有青山
05-25 1万+
An access token is an object that describes the security context of a process or thread. The information in a token includes the identity and privileges of the user account associated with the pro
windows-PEB结构
记录学习,一起进步
01-02 1169
peb结构指南
Windows逆向之PEB(Process Environment Block,进程环境块)
最新发布
m0_57836225的博客
08-12 1087
需要注意的是,在用户模式下直接访问和修改 PEB 是不被允许的,并且可能导致系统不稳定或出现错误。通常,开发人员会使用 Windows 提供的 API 函数来获取与进程相关的信息,而不是直接操作 PEB 结构。需要强调的是,使用这些技术进行恶意活动是非法和不道德的。在网络安全研究和合法的防御工作中,对这些技术的了解有助于增强系统的安全性和防范恶意攻击。进程环境块(PEB,Process Environment Block)是 Windows 操作系统中用于存储特定进程的相关信息的数据结构
软件调试笔记8 - Windows概要进程进程空间
imJaron的博客
11-23 706
Windows是典型的多任务操作系统,打开任务管理器,就可以看到很多正在运行的程序,这些处于运行状态的程序通常称为进程进程和线程: 每个进程又称为一个任务,可以包含一个或者多个线程,每个线程又都是可以被调度执行的。所以WINDOWS系统中的任务与CPU一级的任务是不同的,CPU一级的任务相当于WINDOWS系统下的每个进程的一个线程。即WINDOWS操作系统的每个任务对应于CPU的
谷歌师兄的leetcode刷题笔记-BSOD10:从非特权进程Windows10崩溃到RS2
06-30
谷歌师兄的leetcode刷题笔记概述 此示例代码将从可由非特权用户运行的进程从 1511 (10.0.10586, TH2) 到 1703 (10.0.15063, RS2) 的任何版本的 Windows 10 崩溃。 因此,这是一个本地拒绝服务漏洞。 RS3 及更高版本...
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg)
05-12
peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 ...
句柄表(私有句柄表)
Z875983491的专栏
10-30 1095
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄表(私有句柄表)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
Windows探究TEB和PEB
qq_30528603的博客
09-03 896
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
windows调试相关/peb 结构
pureman_mega的博客
06-06 245
【代码】windows调试相关。
Windows10下的TEB和PEB的分析
塔塔的日记
11-15 1889
TEB:线程环境块(Thread Environment Block),PEB进程环境块(Process Environment Block)。
5.4 Windows驱动开发:内核通过PEB进程参数
优快云
11-21 8425
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取。
windows令牌创建过程
xbgprogrammer的专栏
01-22 2125
大家都知道,在windows vista及以后的操作系统,有管理员权限的用户登录成功后,会存在两个令牌,一个为权限完整的令牌,一个为权限被过滤的令牌。并且如果用sysinternal工具logonsessions查看的话,这两个令牌属于不同的Logon Session。以上情况是如何产生的呢?请听我胡乱讲解一番。 用户交互认证登录时,登录信息被送至lsass进程中的指定认证包进行身份认证,认证通
Windows进程线程
strongxu的专栏
11-19 836
    EPROCESS:进程控制块;它代表着Windows的一个进程,“E”表示管理层(Executive)     KPROCESS:它是EPROCESS内部的一个成分,其名称就叫Pcb,所以是核心层进程控制块。K表示Kernel    用户空间中与进程有关的数据结构是“进程环境块”PEB(Process Enviroment Block)。PEB中记录着进程的运行参数,映像装入地址等
Windows操作系统的进程概要
甜筒八部 的专栏
12-05 827
什么是进程 一个正在运行的程序实例。它由两部分组成: 一个内核对象,操作系统用内核对象管理进程,内核对象是保存进程统计信息的地方。 一个地址空间,它包含所有exe,dll模块的代码和数据,还有动态内存分配,比如线程堆栈和堆的分配。 一个进程内的所有线程,都在进程的地址空间中同时指向代码。线程有一组CPU寄存器和它的堆栈。 当系统创建一个进程的时候,会自动为进程创建第一个线程,即主线程(main函数开始)。当线程执行完代码,线程就结束,主线程结束,系统会销毁进程收回地址空间。 系统为线程的运行分配
SharpOD-x64-v0.6c: 64位系统逆向工程增强插件
PEBWindows操作系统中存储当前进程信息的数据结构,其中包含诸多重要信息,如进程参数、环境变量等。 5. **增加处理ProcessDebugObjectHandle**:该插件增加了对处理调试对象句柄的功能,可以解决打开的调试对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值