X64-R3层通过PEB获取进程命令行参数

最新推荐文章于 2023-06-25 11:15:46 发布
最新推荐文章于 2023-06-25 11:15:46 发布
阅读量2.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: PEB g
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39708161/article/details/79252367
本文介绍了如何在64位环境下,利用PEB(Process Environment Block)结构体来获取进程的命令行参数。通过详细讲解头文件中结构体的定义,以及展示具体的C++实现代码,展示了获取过程。最后,文章列出了运行结果,展示获取命令行参数的成功应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于命令行参数


进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用 CreateProcess时,若 applicationname参数为空(大多数情况都为空),则 CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号 "PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述



获取命令行参数by PEB


其实64位与32位通过PEB获取进程信息并无太大区别,这里就当练练手,其余如加载模块,环境变量等值都可以通过这种方法获得,下面上代码:

首先是头文件,一些结构体的定义:(适用于64位)

#pragma once
#include <Windows.h>
#include<ntstatus.h>
#include<iostream>
using namespace std;



#ifdef _WIN64
typedef unsigned long __w64 duint;
typedef signed long __w64   dsint;
#endif // _WIN64

#define RTL_MAX_DRIVE_LETTERS 32

BOOL EnableSeDebugPrivilege(IN const CHAR*  PriviledgeName, BOOL IsEnable);

typedef struct _PROCESS_BASIC_INFORMATION
{
    PVOID Reserved1;
    PVOID PebBaseAddress;
    PVOID Reserved2[2];
    ULONG_PTR UniqueProcessId;
    PVOID Reserved3;
} PROCESS_BASIC_INFORMATION;
typedef PROCESS_BASIC_INFORMATION* PPROCESS_BASIC_INFORMATION;

typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _CURDIR
{
    UNICODE_STRING DosPath;
    HANDLE Handle;
} CURDIR, *PCURDIR;

typedef struct _RTL_DRIVE_LETTER_CURDIR
{
    USHORT Flags;
    USHORT Length;
    ULONG TimeStamp;
    UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;
typedef enum _PROCESSINFOCLASS
{
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
    ProcessBasePriority,
    ProcessRaisePriority,
    ProcessDebugPort,
    ProcessExceptionPort,
    ProcessAccessToken,
    ProcessLdtInformation,
    ProcessLdtSize,
    ProcessDefaultHardErrorMode,
    ProcessIoPortHandlers,          // Note: this is kernel mode only
    ProcessPooledUsageAndLimits,
    ProcessWorkingSetWatch,
    ProcessUserModeIOPL,
    ProcessEnableAlignmentFaultFixup,
    ProcessPriorityClass,
    ProcessWx86Information,
    ProcessHandleCount,
    ProcessAffinityMask,
    ProcessPriorityBoost,
    ProcessDeviceMap,
    ProcessSessionInformation,
    ProcessForegroundInformation,
    ProcessWow64Information,
    ProcessImageFileName,
    ProcessLUIDDeviceMapsEnabled,
    ProcessBreakOnTermination,
    ProcessDebugObjectHandle,
    ProcessDebugFlags,
    ProcessHandleTracing,
    ProcessIoPriority,
    ProcessExecuteFlags,
    ProcessResourceManagement,
    ProcessCookie,
    ProcessImageInformation,
    MaxProcessInfoClass             // MaxProcessInfoClass should always be the last enum
} PROCESSINFOCLASS;

typedef struct _RTL_USER_PROCESS_PARAMETERS
{
    ULONG MaximumLength;
    ULONG Length;

    ULONG Flags;
    ULONG DebugFlags;

    HANDLE ConsoleHandle;
    ULONG ConsoleFlags;
    HANDLE StandardInput;
    HANDLE StandardOutput;
    HANDLE StandardError;

    CURDIR CurrentDirectory;
    UNICODE_STRING DllPath;
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
    PWCHAR Environment;

    ULONG StartingX;
    ULONG StartingY
最低0.47元/天 解锁文章

200万优质内容无限畅学
EVOL4
关注
64进程获取32进程PEB
SHELLCODE_8BIT的博客
04-20 1150
c++ - Get 32bit PEB of another process from a x64 process - Stack Overflow
32/64 获得进程peb的方法
HsinTsao的博客
03-05 3443
逐渐将博客园的文章搬到优快云来吧。基于上一篇文章获取peb结构,大概了解了peb获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程Rea...
64系统应用获取peb
Tommy(凌飞)的专栏
12-06 6402
  最近在搞64系统移植。今个把在获取peb的问题描述一下。在32系统下,我们都知道可以简单的通过内联汇编得到fs:30置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64的。   我们现在要将的就是不改变我们现有的32应用程序来正确的获取peb的地址。大家不妨试试,直接将
x64进程如何获得wow64进程PEB
lif12345的专栏
07-23 6525
介绍了如何获得wow64进程PEB
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程PEB信息,参考: 测试效果
Windows x64平台 获取PEB表,并获取kernel32.dll的基址,并获取它的函数
MusicMan
05-31 5597
参考了:https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一博主 话不多说,进入正题: 首先是获取PEB基址,先得懂怎么在64平台嵌入汇编代码:参考这博主https://blog.youkuaiyun.com/Giser_D/article/details/90670974 汇编代码: .CODE GetPeb PRO...
WOW64通过PEB获取32/64进程以及模块信息(附带DEMO)
06-23
使用API NtWow64QueryInformationProcess64 获取进程64PEB结构地址。使用API NtWow64ReadVirtualMemory64 读取进程64内存地址的数据。通过PEB64结构进行遍历进程64模块。对于32进程,通过 ...
Windows 驱动根据EPROCESS获取进程命令行参数
05-31
获取进程命令行参数可以通过EPROCESS结构体中的Peb成员实现。具体来说,可以使用PsLookupProcessByProcessId函数获取EPROCESS结构体指针,然后通过Peb成员获取PEB结构体指针,最后通过PEB结构体中的...
Windwos C语言驱动如何获取进程命令行参数
05-28
Windows C语言驱动可以通过调用PsLookupProcessByProcessId函数获取进程的EPROCESS结构体,然后通过EPROCESS结构体中的Peb字段获取进程PEB...,最后通过PEB结构体中的ProcessParameters字段获取进程命令行参数...
32进程枚举64进程模块信息
06-02
&#39; 既有 64环境结构,又有32环境结构, 使用api NtWow64QueryInformationProcess64 可以获取 进程64PEB结构地址,。&#39; 使用api NtWow64ReadVirtualMemory64 可以读取进程64内存地址的数据. 通过PEB64结构进行...
通过PEB遍历进程模块(x64/wow4)
HXD1C6001的博客
11-14 640
未整理 转载于:https://www.cnblogs.com/IMRIVER/p/9960785.html
32 64 获得进程peb的方法
aijuzhou1959的博客
02-14 656
基于上一篇文章,大概了解了peb获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程ReadProcessMemory。 结...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5448
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
x64 PEB简介 && 有关PEB的一些函数
XboxMicro
02-18 7047
尽管操作PEB BLOCK现在已经没什么价值了,但是PEB BLOCK作为内核的一个重要结构,这里还是提一下: x64 EPROCESS结构 +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER
PEB遍历进程加载模块
LoveQuietly
09-14 1784
按照图片的步骤来 首先找到EPROCESS 以CMD.exe为例子 PROCESS 85fa2b38  SessionId: 0  Cid: 0fc8    Peb: 7ffda000  ParentCid: 05f8     DirBase: 0f3c03a0  ObjectTable: e1fa93c8  HandleCount:  34.     Image: cmd.ex
R3 x64枚举进程句柄
07-04 388
转载:https://blog.youkuaiyun.com/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了 这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限...
遍历PEB结构
4SecNet团队专栏
09-03 904
在进行脱壳练习的时候,遇到了这方面的难题,遂,研究了一下:大概的遍历过程如下: 首先,我们要知道,32的程序和64程序的区别:那就是32的程序TEB以及PEB都在fs段里边,而64程序的TEB和PEB都在gs段里边,这是非常重要的:好接下来步入正题: 首先我们来看一下TEB的结构: 接下来我们可以来看一下PEB的具体结构:(那么怎么从TEB到PEB结构呢?我们从刚才那张图可以看到,PEB...
通过修改peb中的命令行参数字段实现进程创建的劫持
pureman_mega的博客
06-25 490
之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe" -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe" -124。
WindowsAPI ——NtQueryInformationProcess
qq_38933606的博客
08-23 2204
NtQueryInformationProcess 获取指定文件大小,in byte。 函数原型 DWORD GetFileSize(__kernel_entry NTSTATUS NtQueryInformationProcess( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnL
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值