JIURL玩玩Win2k进程线程篇 PEB

最新推荐文章于 2024-12-13 17:44:15 发布
原创 最新推荐文章于 2024-12-13 17:44:15 发布 · 2.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struct #parameters #string #buffer #list #module

博客涉及struct、parameters、string、buffer、list、module等信息技术相关元素,但具体内容缺失。推测可能围绕这些元素的使用、特性等方面展开。

JIURL玩玩Win2k进程线程篇 PEB

作者: JIURL

                主页: http://jiurl.yeah.net

    日期: 2003-7-30

    PEB,Process Environment Block ,进程环境块。位于用户地址空间。在地址 0x7FFDF000 处。所以用户进程可以直接访问自己的 PEB 结构。Win2k Build 2195 中进程的 EPROCESS 结构偏移+1b0 处的 *Peb 也指向 PEB 结构。在 undocumented.ntinternals.net (需要注意的是这是个非官方的站点)我们可以找到 PEB 及其相关结构的定义。我们首先列出结构的定义,然后对一些内容进行说明。

typedef struct _PEB {
BOOLEAN InheritedAddressSpace;
BOOLEAN ReadImageFileExecOptions;
BOOLEAN BeingDebugged;
BOOLEAN Spare;
HANDLE Mutant;
PVOID ImageBaseAddress;
PPEB_LDR_DATA LoaderData;
PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
PVOID SubSystemData;
PVOID ProcessHeap;
PVOID FastPebLock;
PPEBLOCKROUTINE FastPebLockRoutine;
PPEBLOCKROUTINE FastPebUnlockRoutine;
ULONG EnvironmentUpdateCount;
PPVOID KernelCallbackTable;
PVOID EventLogSection;
PVOID EventLog;
PPEB_FREE_BLOCK FreeList;
ULONG TlsExpansionCounter;
PVOID TlsBitmap;
ULONG TlsBitmapBits[0x2];
PVOID ReadOnlySharedMemoryBase;
PVOID ReadOnlySharedMemoryHeap;
PPVOID ReadOnlyStaticServerData;
PVOID AnsiCodePageData;
PVOID OemCodePageData;
PVOID UnicodeCaseTableData;
ULONG NumberOfProcessors;
ULONG NtGlobalFlag;
BYTE Spare2[0x4];
LARGE_INTEGER CriticalSectionTimeout;
ULONG HeapSegmentReserve;
ULONG HeapSegmentCommit;
ULONG HeapDeCommitTotalFreeThreshold;
ULONG HeapDeCommitFreeBlockThreshold;
ULONG NumberOfHeaps;
ULONG MaximumNumberOfHeaps;
PPVOID *ProcessHeaps;
PVOID GdiSharedHandleTable;
PVOID ProcessStarterHelper;
PVOID GdiDCAttributeList;
PVOID LoaderLock;
ULONG OSMajorVersion;
ULONG OSMinorVersion;
ULONG OSBuildNumber;
ULONG OSPlatformId;
ULONG ImageSubSystem;
ULONG ImageSubSystemMajorVersion;
ULONG ImageSubSystemMinorVersion;
ULONG GdiHandleBuffer[0x22];
ULONG PostProcessInitRoutine;
ULONG TlsExpansionBitmap;
BYTE TlsExpansionBitmapBits[0x80];
ULONG SessionId;
} PEB, *PPEB;

typedef void (*PPEBLOCKROUTINE)(PVOID PebLock); 

typedef struct _PEB_LDR_DATA {
ULONG Length;
BOOLEAN Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID BaseAddress;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
SHORT LoadCount;
SHORT TlsIndex;
LIST_ENTRY HashTableEntry;
ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
ULONG MaximumLength;
ULONG Length;
ULONG Flags;
ULONG DebugFlags;
PVOID ConsoleHandle;
ULONG ConsoleFlags;
HANDLE StdInputHandle;
HANDLE StdOutputHandle;
HANDLE StdErrorHandle;
UNICODE_STRING CurrentDirectoryPath;
HANDLE CurrentDirectoryHandle;
UNICODE_STRING DllPath;
UNICODE_STRING ImagePathName;
UNICODE_STRING CommandLine;
PVOID Environment;
ULONG StartingPositionLeft;
ULONG StartingPositionTop;
ULONG Width;
ULONG Height;
ULONG CharWidth;
ULONG CharHeight;
ULONG ConsoleTextAttributes;
ULONG WindowFlags;
ULONG ShowWindowFlags;
UNICODE_STRING WindowTitle;
UNICODE_STRING DesktopName;
UNICODE_STRING ShellInfo;
UNICODE_STRING RuntimeData;
RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _RTL_DRIVE_LETTER_CURDIR {
USHORT Flags;
USHORT Length;
ULONG TimeStamp;
UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;

typedef struct _PEB_FREE_BLOCK {
_PEB_FREE_BLOCK *Next;
ULONG Size;
} PEB_FREE_BLOCK, *PPEB_FREE_BLOCK;

我写了一个叫 JiurlPebSee 的程序来分析指定进程的 PEB。下面我结合 JiurlPebSee 的输出来对 PEB 及其相关结构的一些内容进行说明。

ProcessId(Decimal): 516
Explorer.exe:

PEB at 0x7ffdf000

LoaderData: 0x00071e90
ProcessParameters: 0x00020000
ProcessHeap: 0x00070000
NumberOfHeaps: 11
MaximumNumberOfHeaps: 16
*ProcessHeaps: 0x77fce380

7ffdf000: 00000000 ffffffff 00400000 00071e90
7ffdf010: 00020000 00000000 00070000 77fcd170
7ffdf020: 77f8aa4c 77f8aa7d 00000001 77e14380
7ffdf030: 00000000 00000000 00000000 00000000
7ffdf040: 77fcd1a8 03cfffff 00000000 7f6f0000
7ffdf050: 7f6f0000 7f6f0688 7ffa0000 7ffa0000
7ffdf060: 7ffd1000 00000001 00000000 00000000
7ffdf070: 079b8000 ffffe86d 00100000 00002000
7ffdf080: 00010000 00001000 0000000b 00000010
7ffdf090: 77fce380 00350000 00000000 00000014
7ffdf0a0: 77fcd348 00000005 00000000 00000893
7ffdf0b0: 00000002 00000002 00000004 00000000
7ffdf0c0: 00000000 00000000 00000002 00000000
7ffdf0d0: 00000004 00000000 b51003ba 391001e4
7ffdf0e0: 00000000 00000000 00000000 00000000
7ffdf0f0: 00000000 00000000 00000000 00000000
7ffdf100: 00000000 00000000 00000000 00000000
7ffdf110: 00000000 00000000 00000000 00000000
7ffdf120: 8204019c 7004019b cf04019e a104019d
7ffdf130: 00000000 00000000 00000000 00000000
7ffdf140: 00000000 00000000 00000000 00000000
7ffdf150: 77fcdcc0 00000000 00000000 00000000
7ffdf160: 00000000 00000000 00000000 00000000
7ffdf170: 00000000 00000000 00000000 00000000
7ffdf180: 00000000 00000000 00000000 00000000
7ffdf190: 00000000 00000000 00000000 00000000
7ffdf1a0: 00000000 00000000 00000000 00000000
7ffdf1b0: 00000000 00000000 00000000 00000000
7ffdf1c0: 00000000 00000000 00000000 00000000
7ffdf1d0: 00000000 00000000 00000000 00020000
7ffdf1e0: 7f6f06c2 00000000 00000000 00000000
7ffdf1f0: 00000000 00000000 00000000 00000000
7ffdf200: 00000000 00000000 00000000 00000000
...

我们以进程 Explorer.exe 进行分析。
LoaderData 是指向 PEB_LDR_DATA 的指针,通过 PEB_LDR_DATA ,我们可以找到进程载入的所有模组。
ProcessParameters 是指向 RTL_USER_PROCESS_PARAMETERS 的指针,RTL_USER_PROCESS_PARAMETERS 中是一些进程的参数。
进程通常有多个用户堆。ProcessHeap 是进程堆(默认的那个)的首地址。NumberOfHeaps 是当前进程的堆的个数。MaximumNumberOfHeaps 是进程的堆的最大个数。*ProcessHeaps 是一个堆指针数组的首地址,每个数组元素长4个字节,是一个堆的指针。


LoaderData at 0x00071e90

Length: 36 Bytes
Initialized: 1
SsHandle: 0x00000000
InLoadOrderModuleList
Flink: 0x00071ec0 Blink: 0x000a0508
InMemoryOrderModuleList
Flink: 0x00071ec8 Blink: 0x000a0510
InInitializationOrderModuleList
Flink: 0x00071f48 Blink: 0x000a0518

Module at 0x00071ec0
FullDllName: D:/WINNT/Explorer.exe
BaseDllName: Explorer.exe
BaseAddress: 0x00400000
SizeOfImage: 0x0003c000

Module at 0x00071f38
FullDllName: D:/WINNT/System32/ntdll.dll
BaseDllName: ntdll.dll
BaseAddress: 0x77f80000
SizeOfImage: 0x00079000

Module at 0x00072470
FullDllName: D:/WINNT/system32/ADVAPI32.DLL
BaseDllName: ADVAPI32.DLL
BaseAddress: 0x77d90000
SizeOfImage: 0x0005a000

...

从PEB可以找到 PEB_LDR_DATA ,PEB_LDR_DATA 中有三个双向循环链表的表头,分别是 InLoadOrderModuleList,InMemoryOrderModuleList,InInitializationOrderModuleList。
每个链表项都是一个 LDR_MODULE 结构。

ProcessParameters at 0x00020000

MaximumLength: 0x00001000
Length: 0x00000838
...


Environment at 0x00010000

00010000: 004c0041 0055004c 00450053 00530052 A.L.L.U.S.E.R.S.
00010010: 00520050 0046004f 004c0049 003d0045 P.R.O.F.I.L.E.=.
00010020: 003a0049 0044005c 0063006f 006d0075 I.:./.D.o.c.u.m.
00010030: 006e0065 00730074 00610020 0064006e e.n.t.s. .a.n.d.
00010040: 00530020 00740065 00690074 0067006e .S.e.t.t.i.n.g.
...
00010340: 00640075 00000065 0069006c 003d0062 u.d.e...l.i.b.=.
00010350: 003a0047 004d005c 00630069 006f0072 G.:./.M.i.c.r.o.
00010360: 006f0073 00740066 00560020 00730069 s.o.f.t. .V.i.s.
00010370: 00610075 0020006c 00740053 00640075 u.a.l. .S.t.u.d.
...
00010a70: 005c0031 00650054 0070006d 00540000 1./.T.e.m.p...T.
...
00010b80: 003a0044 0057005c 004e0049 0054004e D.:./.W.I.N.N.T.
00010b90: 00000000 00000000 00000000 00000000 ................
...
00010ff0: 00000000 00000000 00000000 00000000 ................

RTL_USER_PROCESS_PARAMETERS 中的 PVOID Environment; 指明了环境变量的地址。


从结构定义中就可以看出 是象 StdInputHandle,ImagePathName 这样的参数。


ProcessHeaps at 0x77fce380

ProcessHeaps[0]: 0x00070000
ProcessHeaps[1]: 0x00170000
ProcessHeaps[2]: 0x008c0000
ProcessHeaps[3]: 0x00cd0000
ProcessHeaps[4]: 0x00ed0000
ProcessHeaps[5]: 0x00f10000
ProcessHeaps[6]: 0x01290000
ProcessHeaps[7]: 0x013e0000
ProcessHeaps[8]: 0x01ce0000
ProcessHeaps[9]: 0x01f50000
ProcessHeaps[10]: 0x03bf0000

77fce380: 00070000 00170000 008c0000 00cd0000
77fce390: 00ed0000 00f10000 01290000 013e0000
77fce3a0: 01ce0000 01f50000 03bf0000 00000000
77fce3b0: 00000000 00000000 00000000 00000000

从 ProcessHeaps 数组,我们可以找到进程的每一个堆。

为了方便观察某个进程地址空间中内容,我写了一个叫 JiurlProcessMemSee 的程序,可以获得指定进程地址空间中的内容。

使用 KD(内核调试器) 我们也可以找到 PEB 及其相关结构的定义。

kd> !strct PEB
!strct PEB
struct _PEB (sizeof=488)
+000 byte InheritedAddressSpace
+001 byte ReadImageFileExecOptions
+002 byte BeingDebugged
+003 byte SpareBool
+004 void *Mutant
+008 void *ImageBaseAddress
+00c struct _PEB_LDR_DATA *Ldr
+010 struct _RTL_USER_PROCESS_PARAMETERS *ProcessParameters
+014 void *SubSystemData
+018 void *ProcessHeap
+01c void *FastPebLock
+020 void *FastPebLockRoutine
+024 void *FastPebUnlockRoutine
+028 uint32 EnvironmentUpdateCount
+02c void *KernelCallbackTable
+030 uint32 SystemReserved[2]
+038 struct _PEB_FREE_BLOCK *FreeList
+03c uint32 TlsExpansionCounter
+040 void *TlsBitmap
+044 uint32 TlsBitmapBits[2]
+04c void *ReadOnlySharedMemoryBase
+050 void *ReadOnlySharedMemoryHeap
+054 void **ReadOnlyStaticServerData
+058 void *AnsiCodePageData
+05c void *OemCodePageData
+060 void *UnicodeCaseTableData
+064 uint32 NumberOfProcessors
+068 uint32 NtGlobalFlag
+070 union _LARGE_INTEGER CriticalSectionTimeout
+070 uint32 LowPart
+074 int32 HighPart
+070 struct __unnamed3 u
+070 uint32 LowPart
+074 int32 HighPart
+070 int64 QuadPart
+078 uint32 HeapSegmentReserve
+07c uint32 HeapSegmentCommit
+080 uint32 HeapDeCommitTotalFreeThreshold
+084 uint32 HeapDeCommitFreeBlockThreshold
+088 uint32 NumberOfHeaps
+08c uint32 MaximumNumberOfHeaps
+090 void **ProcessHeaps
+094 void *GdiSharedHandleTable
+098 void *ProcessStarterHelper
+09c uint32 GdiDCAttributeList
+0a0 void *LoaderLock
+0a4 uint32 OSMajorVersion
+0a8 uint32 OSMinorVersion
+0ac uint16 OSBuildNumber
+0ae uint16 OSCSDVersion
+0b0 uint32 OSPlatformId
+0b4 uint32 ImageSubsystem
+0b8 uint32 ImageSubsystemMajorVersion
+0bc uint32 ImageSubsystemMinorVersion
+0c0 uint32 ImageProcessAffinityMask
+0c4 uint32 GdiHandleBuffer[34]
+14c function *PostProcessInitRoutine
+150 void *TlsExpansionBitmap
+154 uint32 TlsExpansionBitmapBits[32]
+1d4 uint32 SessionId
+1d8 void *AppCompatInfo
+1dc struct _UNICODE_STRING CSDVersion
+1dc uint16 Length
+1de uint16 MaximumLength
+1e0 uint16 *Buffer

kd> !strct PEB_LDR_DATA
!strct PEB_LDR_DATA
struct _PEB_LDR_DATA (sizeof=36)
+00 uint32 Length
+04 byte Initialized
+08 void *SsHandle
+0c struct _LIST_ENTRY InLoadOrderModuleList
+0c struct _LIST_ENTRY *Flink
+10 struct _LIST_ENTRY *Blink
+14 struct _LIST_ENTRY InMemoryOrderModuleList
+14 struct _LIST_ENTRY *Flink
+18 struct _LIST_ENTRY *Blink
+1c struct _LIST_ENTRY InInitializationOrderModuleList
+1c struct _LIST_ENTRY *Flink
+20 struct _LIST_ENTRY *Blink

kd> !strct RTL_USER_PROCESS_PARAMETERS
!strct RTL_USER_PROCESS_PARAMETERS
struct _RTL_USER_PROCESS_PARAMETERS (sizeof=656)
+000 uint32 MaximumLength
+004 uint32 Length
+008 uint32 Flags
+00c uint32 DebugFlags
+010 void *ConsoleHandle
+014 uint32 ConsoleFlags
+018 void *StandardInput
+01c void *StandardOutput
+020 void *StandardError
+024 struct _CURDIR CurrentDirectory
+024 struct _UNICODE_STRING DosPath
+024 uint16 Length
+026 uint16 MaximumLength
+028 uint16 *Buffer
+02c void *Handle
+030 struct _UNICODE_STRING DllPath
+030 uint16 Length
+032 uint16 MaximumLength
+034 uint16 *Buffer
+038 struct _UNICODE_STRING ImagePathName
+038 uint16 Length
+03a uint16 MaximumLength
+03c uint16 *Buffer
+040 struct _UNICODE_STRING CommandLine
+040 uint16 Length
+042 uint16 MaximumLength
+044 uint16 *Buffer
+048 void *Environment
+04c uint32 StartingX
+050 uint32 StartingY
+054 uint32 CountX
+058 uint32 CountY
+05c uint32 CountCharsX
+060 uint32 CountCharsY
+064 uint32 FillAttribute
+068 uint32 WindowFlags
+06c uint32 ShowWindowFlags
+070 struct _UNICODE_STRING WindowTitle
+070 uint16 Length
+072 uint16 MaximumLength
+074 uint16 *Buffer
+078 struct _UNICODE_STRING DesktopInfo
+078 uint16 Length
+07a uint16 MaximumLength
+07c uint16 *Buffer
+080 struct _UNICODE_STRING ShellInfo
+080 uint16 Length
+082 uint16 MaximumLength
+084 uint16 *Buffer
+088 struct _UNICODE_STRING RuntimeData
+088 uint16 Length
+08a uint16 MaximumLength
+08c uint16 *Buffer
+090 struct _RTL_DRIVE_LETTER_CURDIR CurrentDirectores[32]
uint16 Flags
uint16 Length
uint32 TimeStamp
struct _STRING DosPath
uint16 Length
uint16 MaximumLength
char *Buffer

kd> !strct RTL_DRIVE_LETTER_CURDIR
!strct RTL_DRIVE_LETTER_CURDIR
struct _RTL_DRIVE_LETTER_CURDIR (sizeof=16)
+00 uint16 Flags
+02 uint16 Length
+04 uint32 TimeStamp
+08 struct _STRING DosPath
+08 uint16 Length
+0a uint16 MaximumLength
+0c char *Buffer

kd> !strct PEB_FREE_BLOCK
!strct PEB_FREE_BLOCK
struct _PEB_FREE_BLOCK (sizeof=8)
+0 struct _PEB_FREE_BLOCK *Next
+4 uint32 Size

欢迎交流,欢迎交朋友,
欢迎访问 http://jiurl.yeah.net http://jiurl.cosoft.org.cn/forum


下载 JiurlPebSee 可执行文件及源程序
下载 JiurlProcessMemSee 可执行文件及源程序



imquestion
关注
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
PEDUMP程序自从1994年的版本以来,已经有了明显的改善。它可以显示在PE里的每一个数据类型,包括: IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位 ... 除了可导出PE可执行文件外,PEDUMP也能导出COFF格式的...
JIURL PE 格式学习总结(一)-- PE文件概述.docx
12-07
通过JIURL PEDUMP这样的工具,我们可以直观地查看和分析PE文件的各个部分,这对于学习和理解PE格式非常有帮助。在后续的学习中,我们将进一步探讨PE文件的加载过程、节的特性、重定位、导入和导出表等关键概念,逐步...
JIURL玩玩Win2k进程线程 EPROCESS
jiurl的专栏
08-18 3877
JIURL玩玩Win2k进程线程 EPROCESS作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针
JIURL玩玩Win2k进程线程 TEB
jiurl的专栏
08-18 2675
JIURL玩玩Win2k进程线程 TEB作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     TEB,Thread Environment Block,线程环境块。位于用户地址空间。在比
JIURL玩玩Win2k进程线程 ETHREAD
jiurl的专栏
08-18 2994
JIURL玩玩Win2k进程线程 ETHREAD作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHR
JIURL玩玩Win2k进程线程 PEB(转)
ruder's blog
07-27 1185
JIURL玩玩Win2k进程线程 PEB 作者: JIURL 主页: http://jiurl.yeah.net PEB,Process Environment Block ,进程环境块。位于用户地址空间。在地址 0x7FFDF000 处。所以用户进程可以直接访问自己的 PEB 结构。Win2k Build 2195 中进程的 EPROCESS 结构偏移+1b0 处的 *Peb
玩转java多线程学习一多线程基础
qq_15988615的专栏
05-02 443
一:线程进程的概念 1,进程进程是操作系统的基础,是一次程序的执行;是一个程序及其数据在处理机上顺序执行时所发生的活动,是程序在一个数据集合上运行的过程,它是系统进行资源分配和调度的一个独立单位,一个进程至少一个线程。(比如windows系统中的进程列表)。 2线程线程可以理解为在进程中独立运行的子任务(比如QQ运行时候很多子任务在同时运行,视频线程,下载文件线程,发送表情线程
JIURL玩玩Win2k内存
08-17
JIURL玩玩Win2k内存
JIURL键盘驱动技术解析与应用
标题中的“JIURL键盘驱动”意味着我们即将讨论的内容与一种特定的键盘驱动程序有关,驱动程序是指允许操作系统与硬件设备之间通信的软件。对于键盘驱动程序而言,它是确保键盘输入能够被计算机正确识别并响应的核心...
JIURL键盘驱动
04-10
"JIURL键盘驱动"是专为JIURL品牌键盘设计的驱动程序,它允许操作系统识别并有效地控制这个特定品牌的键盘,确保键盘上的按键能够正确地将输入指令传递给计算机。 首先,我们要理解驱动程序的基本概念。驱动程序,或...
通过修改peb中的命令行参数字段实现进程创建的劫持
pureman_mega的博客
06-25 527
之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe" -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe" -124。
根据进程名获取启动参数
chaoguodong的专栏
02-07 1469
#define STATUS_SUCCESS                   ((NTSTATUS)0x00000000L) #define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L) typedef enum { ObjectNameInformation = 1 } OBJECT_INFORMATION_CLASS;
WindowsXP下获取命令行参数
Sven的忘却日记
05-21 587
1)背景 最近有个需求在WindowsXP下通过PsSetCreateProcessNotifyRoutine注册了一个进程创建回调,然后尝试通过PEB来获取被创建进程的命令行参数,发现PEB结构中的命令行等相关数据还没有被填充进去。 通过查看GetCommandLineA函数的反汇编,得知进程的命令行保存在一个固定的地址0x7C8855F4 MOVE EAX, DWORD PTR [0x7C8855F4] RETN 在进程创建回调中,附加到目标进程,再查看这个地址的数据,如下所示。 因为时机还不对,这
1 保护模式
最新发布
史D芬周
12-13 910
为了对数据进行保护,普通代码段是禁止不同级别进行访问的。用户态的代码不能访问内核的数据,同样,内核态的代码也不能访问用户态的数据;如果想提供一些通用的功能,而且这些功能并不会破坏内核数据,那么可以选择一致代码段,这样低级别的程序可以在不提升CPL权限等级的情况下访问。如果想访问普通代码段,只有通过调用门等提升CPL权限,才能访问。跨段调用时,一旦有权限切换,就会切换栈;CS的权限一旦改变,SS的权限也要随着改变,CS与SS的等级必须一样;
Windows 得到一个进程的完整路径
FURY_QQ的博客
03-31 1625
头文件中:    #pragma once#include <windows.h>#include <iostream>using namespace std;#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)typedef struct _UNICODE_STRING{ UINT16 Length; UINT...
Windows各版本EPROCESS结构
漂泊心情
01-15 2324
Windows XP: +0x000 Pcb : _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ] +0x018 DirectoryTableBase : [2] 0x2807000 +0x020 LdtDescript
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 2139
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
PEB进程环境块分析研究
zz_strive_2012的专栏
03-02 6915
# 2015-08-01 Peb(Process Environment Block)简单学习及分析 文章目录 1. PEB结构初探2. Peb应用程序代码 参考资料: Google peb site:pediy.com PEB结构——枚举用户模块列表 修改已加载DLL的模块名和路径 PEB结构初探 windows系统中通过各种结
Windows进程线程
strongxu的专栏
11-19 856
    EPROCESS:进程控制块;它代表着Windows的一个进程,“E”表示管理层(Executive)     KPROCESS:它是EPROCESS内部的一个成分,其名称就叫Pcb,所以是核心层进程控制块。K表示Kernel    用户空间中与进程有关的数据结构是“进程环境块”PEB(Process Enviroment Block)。PEB中记录着进程的运行参数,映像装入地址等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值