32位/64位 获得进程peb的方法

最新推荐文章于 2021-10-09 20:54:54 发布
原创 最新推荐文章于 2021-10-09 20:54:54 发布 · 3.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windows

本文介绍了如何通过未公开的NtQueryInformationProcess函数来获取其他进程的PEB,而不是采用复杂的注入和进程间通信方式。利用获得的PEB结构体,可以获取进程的模块、路径、命令行等信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

逐渐将博客园的文章搬到优快云来吧。

基于上一篇文章获取peb结构,大概了解了peb的获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。

下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。

结构体是使用的一个模板,从别处借鉴的。

#pragma once

#include <Windows.h>
#include <Strsafe.h>
#include <wchar.h>
#include <vector>


#define NT_SUCCESS(x) ((x) >= 0)

#define ProcessBasicInformation 0
typedef
NTSTATUS(WINAPI *pfnNtWow64QueryInformationProcess64)
(HANDLE ProcessHandle, UINT32 ProcessInformationClass,
    PVOID ProcessInformation, UINT32 ProcessInformationLength,
    UINT32* ReturnLength);

typedef
NTSTATUS(WINAPI *pfnNtWow64ReadVirtualMemory64)
(HANDLE ProcessHandle, PVOID64 BaseAddress,
    PVOID BufferData, UINT64 BufferLength,
    PUINT64 ReturnLength);

typedef
NTSTATUS(WINAPI *pfnNtQueryInformationProcess)
(HANDLE ProcessHandle, ULONG ProcessInformationClass,
    PVOID ProcessInformation, UINT32 ProcessInformationLength,
    UINT32* ReturnLength);

template <typename T>
struct _UNICODE_STRING_T
{
    WORD Length;
    WORD MaximumLength;
    T Buffer;
};

template <typename T>
struct _LIST_ENTRY_T
{
    T Flink;
    T Blink;
};

template <typename T, typename NGF, int A>
struct _PEB_T
{
    typedef T type;

    union
    {
        struct
        {
            BYTE InheritedAddressSpace;
            BYTE ReadImageFileExecOptions;
            BYTE BeingDebugged;
            BYTE BitField;
        };
        T dummy01;
    };
    T Mutant;
    T ImageBaseAddress;
    T Ldr;
    T ProcessParameters;
    T SubSystemData;
    T Pr
最低0.47元/天 解锁文章

200万优质内容无限畅学
64进程获取32进程PEB
SHELLCODE_8BIT的博客
04-20 1150
c++ - Get 32bit PEB of another process from a x64 process - Stack Overflow
获取32进程的文件地址的通用方法
最新发布
XrMask的博客
09-24 147
请注意,以上示例代码是使用C/C++语言编写的,并使用了Windows操作系统的API函数。在其他编程语言和操作系统中,可能会有不同的方法来实现相同的功能。因此,在实际使用时,请根据具体的编程语言和操作系统进行相应的调整和修改。通过以上步骤,我们可以获取32进程的文件地址。在实际应用中,可以根据需要进行进一步的处理,例如读取文件内容、修改文件等操作。在操作系统中,可以使用以下方法获取32进程的文件地址。这些方法可以帮助我们在编程中获取进程的文件地址,以便进行各种操作。希望以上内容对您有帮助!
通过PEB遍历当前进程中的模块(C语言实现)
aigo10000的博客
05-14 689
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x01 相关数据结构: 下面的数据结构可以在windbg中使用命令查看(使用 dt ...
64环境下32进程获取64进程的命令行参数和当前目录
weixin_34205076的博客
11-18 1141
BOOL GetProcessCurDir(HANDLE hProcess,mystring&strCurDir){ BOOL bSuccess = FALSE; // PROCESS_BASIC_INFORMATION pbi; TNtQueryInformationProcess pfnNtQueryInformationProcess = NULL; ...
ring0获取指定进程PEB
Lydia的博客
10-23 1885
#ifndef TYPEDEF_H #define TYPEDEF_H typedef PPEB (__stdcall *P_PsGetProcessPeb)(PEPROCESS); typedef unsigned char BYTE; typedef struct _RTL_USER_PROCESS_PARAMETERS { BYTE Reserved1[16];
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1188
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
x64进程如何获得wow64进程PEB
lif12345的专栏
07-23 6525
介绍了如何获得wow64进程PEB
利用32PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1416
本程序只使用于32! 即只能寻找32进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
32进程枚举64进程模块信息
06-02
' WOW6432程序其实拥有64程序的全部功能,包括32注入64、枚举64进程模块、Hook64模块、调用64API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64进程,只是自己以为是32...
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2463
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
FS 寄存器使用
wowbell的专栏
03-18 1181
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
TEB
qq_39249347的博客
09-03 2003
TEB指线程环境块,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应一个TEB结构体。 Windows7中的TEB结构体成员。 +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //进程的pid +0x028 ActiveRpcHandle : Ptr3.
获取进程的信息
甜筒八部 的专栏
08-08 3224
使用 NtQueryInformationProcess 函数Retrieves information about the specified process. Windows NT/2000系统的NTDLL.DLL包含了许多未公开的API函数。 NtQueryInformationProcess就是微软 NTDLL.DLL包含的未公开 的一个 API。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以指定参数,获得指定结构体类型的进程信息,拷贝到...
PEB结构块解析
热门推荐
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
windbg学习23(!pebPEB结构)
weixin_30487201的博客
01-10 573
调试器用户经常会需要查看在启动调试目标时使用了哪些命令行参数,这个信息是保存在PEB中的,可以通过!peb获取,这个命令将解析PEB并给出完整的命令行,所有已加载DLL的置,以及环境变量等. 0:000> !peb PEB at 7ffdf000 InheritedAddressSpace: No ReadImageFileExecOptions: N...
GetModuleHandle
qq_37244872的博客
10-14 828
#pragma pack(8) typedef struct _PROCESS_BASIC_INFORMATION64 { NTSTATUS ExitStatus; UINT32 Reserved0; UINT64 PebBaseAddress; UINT64 AffinityMask; UINT32 BasePriority; UINT32 Reserved1; UINT64 ...
遍历PEB结构
4SecNet团队专栏
09-03 904
在进行脱壳练习的时候,遇到了这方面的难题,遂,研究了一下:大概的遍历过程如下: 首先,我们要知道,32的程序和64程序的区别:那就是32的程序TEB以及PEB都在fs段里边,而64程序的TEB和PEB都在gs段里边,这是非常重要的:好接下来步入正题: 首先我们来看一下TEB的结构: 接下来我们可以来看一下PEB的具体结构:(那么怎么从TEB到PEB结构呢?我们从刚才那张图可以看到,PEB...
32程序读取64进程内存
htpidk的博客
10-09 1921
//第一步://定義函數參數結構 typedef NTSTATUS(NTAPI *LPFN_NTWOW64READVIRTUALMEMORY64)( IN HANDLE ProcessHandle, IN ULONG64 BaseAddress, OUT PVOID BufferData, IN ULONG64 BufferLength, OUT PULONG64 ReturnLength OPTIONAL); typedef NTSTATUS(NTAPI *LPFN_NTWOW64WR
全面支持3264进程模块查看器工具
这些信息包括但不限于模块的文件路径、基地址、模块入口点等关键数据,而且该工具兼容性非常好,能够同时支持3264进程。这意味着无论是传统的32Windows系统还是现代的64系统,都可以通过这个工具来进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值