软件调试笔记10 - Windows概要:进程结构:令牌,PEB,ID, 句柄

最新推荐文章于 2024-08-12 23:20:30 发布
原创 最新推荐文章于 2024-08-12 23:20:30 发布 · 640 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Windows进程的关键组成部分,包括访问令牌的使用和查看方法,PEB(进程环境块)的结构及其在用户空间的作用,SessionId的概念及其在多用户登录场景下的意义,以及进程ID和页目录基地址的作用。此外,还探讨了对象表格,用于句柄到内核对象的映射,并提供了WinDbg的相关命令进行调试和查看。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问令牌

TOKEN字段记录着这个进程的TOKEN结构地址,进程很多与安全有关的信息都在这个结构中。找到TOKEN字段值,然后用!Token命令查看。


也可以用dt nt!_TOKEN加上令牌地址来观察令牌对象。


PEB

PEB即进程环境块,包含了进程的大多数用户态信息。与EPROCESS结构位于内核空间的不同,PEB是在内核态建立后映射到用户空间的,因此在一个系统中,多个进程的PEB地址可能是同一个值。

使用dt _PEB 可以显示PEB的字段及其值。因为PEB位于用户空间,所以内核调试会话中应该用.process命令设置当前的隐含进程。




SessionId:

指该进程所在的WINDOWS会话的ID号。当多个用户同时登录时,WINDOWS会为每个登录用户建立一个会话,每个会话有自己的workstation和桌面。当只有一个用户登录时,用户启动的程序和系统服务都运行在SESSION 0,当切换到另外一个时,系统会建立SESSION 1, 以此类推。


进程ID

Cid即进程ID,又叫client

最低0.47元/天 解锁文章

200万优质内容无限畅学
枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 994
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
提升进程令牌
rznice的专栏
04-23 1519
众所周知,当我们要结束一个进程时,可以调用WINDOWS API函数TerminateProcess函数。但是,有很多进程依然还是无法结束的,这是因为进程权限不够,这时我们可以给进程提升权限再K掉K不掉的进程。一般进程获取了SeDebugPrivilege权限后都可以杀掉大部分进程了。 //提升进程令牌函数 function AdjustProcessPrivilege(ProcessHand
关于进程访问令牌( access token )
热门推荐
远有青山
05-25 1万+
An access token is an object that describes the security context of a process or thread. The information in a token includes the identity and privileges of the user account associated with the pro
windows-PEB结构
记录学习,一起进步
01-02 1172
peb结构指南
Windows逆向之PEB(Process Environment Block,进程环境块)
最新发布
m0_57836225的博客
08-12 1095
需要注意的是,在用户模式下直接访问和修改 PEB 是不被允许的,并且可能导致系统不稳定或出现错误。通常,开发人员会使用 Windows 提供的 API 函数来获取与进程相关的信息,而不是直接操作 PEB 结构。需要强调的是,使用这些技术进行恶意活动是非法和不道德的。在网络安全研究和合法的防御工作中,对这些技术的了解有助于增强系统的安全性和防范恶意攻击。进程环境块(PEB,Process Environment Block)是 Windows 操作系统中用于存储特定进程的相关信息的数据结构
句柄表(私有句柄表)
Z875983491的专栏
10-30 1103
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 句柄表(私有句柄表)   我们在R3环编程中,会接触到句柄HANDLE的概念。   比如OPENPROCESS,打开进程获取其进程句柄,这些被称为“内核句柄”。   注意,与GUI图形界面不同,那些 画刷句柄 被称为“用户句柄”,不在我们讨论范围之列。 ...
软件调试笔记8 - Windows概要进程进程空间
imJaron的博客
11-23 706
Windows是典型的多任务操作系统,打开任务管理器,就可以看到很多正在运行的程序,这些处于运行状态的程序通常称为进程进程和线程: 每个进程又称为一个任务,可以包含一个或者多个线程,每个线程又都是可以被调度执行的。所以WINDOWS系统中的任务与CPU一级的任务是不同的,CPU一级的任务相当于WINDOWS系统下的每个进程的一个线程。即WINDOWS操作系统的每个任务对应于CPU的
谷歌师兄的leetcode刷题笔记-BSOD10:从非特权进程Windows10崩溃到RS2
06-30
谷歌师兄的leetcode刷题笔记概述 此示例代码将从可由非特权用户运行的进程从 1511 (10.0.10586, TH2) 到 1703 (10.0.15063, RS2) 的任何版本的 Windows 10 崩溃。 因此,这是一个本地拒绝服务漏洞。 RS3 及更高版本...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5488
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg)
05-12
peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 ...
Windows探究TEB和PEB
qq_30528603的博客
09-03 905
在x86模式下FS寄存器是指向当前线程的TEB结构体的。GetProcessHeap是一个API函数,如果函数成功,则返回值是调用进程的堆的句柄。首先会获取TEB的地址,接着找到TEB偏移18h的位置找到ProcessHeap这个成员的值返回。我们只关注两个成员,一个是在偏移0x60处的ProcessEnvironmentBlock成员,一个就是第一个成员NtTib。我们知道在x64下gs指向的是TEB,在TEB偏移60的位置取得ProcessEnvionmentBlock,也就是PEB的地址。
windows调试相关/peb 结构
pureman_mega的博客
06-06 253
【代码】windows调试相关。
Windows10下的TEB和PEB的分析
塔塔的日记
11-15 1899
TEB:线程环境块(Thread Environment Block),PEB进程环境块(Process Environment Block)。
5.4 Windows驱动开发:内核通过PEB进程参数
优快云
11-21 8438
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取。
PEB,TEB初学.
fun0526的专栏
08-21 6873
<br /><br />TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过CPU的FS寄存器来访问该段,一般存储在[FS:0]。在用户态下WinDbg中可用命令$t
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1188
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
34进程与线程之进程结构
qq_18059143的博客
11-29 745
前言:操作系统创造进程和线程,实质就是构建一个结构体。 一、进程结构体EPROCESS 使用命令查看:dt _EPROCESS PEB也是描述进程的一个结构体,但是是提供给3环使用的,而不是0环。每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 成员之KPROCESS +...
windows令牌创建过程
xbgprogrammer的专栏
01-22 2131
大家都知道,在windows vista及以后的操作系统,有管理员权限的用户登录成功后,会存在两个令牌,一个为权限完整的令牌,一个为权限被过滤的令牌。并且如果用sysinternal工具logonsessions查看的话,这两个令牌属于不同的Logon Session。以上情况是如何产生的呢?请听我胡乱讲解一番。 用户交互认证登录时,登录信息被送至lsass进程中的指定认证包进行身份认证,认证通
SharpOD-x64-v0.6c: 64位系统逆向工程增强插件
PEBWindows操作系统中存储当前进程信息的数据结构,其中包含诸多重要信息,如进程参数、环境变量等。 5. **增加处理ProcessDebugObjectHandle**:该插件增加了对处理调试对象句柄的功能,可以解决打开的调试对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值