利用TEB和PEB在3环 断链模块 遍历模块

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量864 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: # 进程和线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41490873/article/details/105886825
本文深入探讨了Windows内核中的关键数据结构TEB和PEB,解析了它们在进程管理和线程上下文中的作用,以及如何通过这些结构遍历进程模块。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nt!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID    //UniqueProcess   UniqueThread  进程ID   +4  线程ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB   PEB指针
   +0x034 LastErrorValue   : Uint4B       GetLastError取的是这个值
   +0x038 CountOfOwnedCriticalSections : Uint4B
   +0x03c CsrClientThread  : Ptr32 Void
   +0x040 Win32ThreadInfo  : Ptr32 Void
   +0x044 User32Reserved   : [26] Uint4B
   +0x0ac UserReserved     : [5] Uint4B
   +0x0c0 WOW32Reserved    : Ptr32 Void
   +0x0c4 CurrentLocale    : Uint4B
   +0x0c8 FpSoftwareStatusRegister : Uint4B
   +0x0cc SystemReserved1  : [54] Ptr32 Void
   +0x1a4 ExceptionCode    : Int4B
   +0x1a8 ActivationContextStack : _ACTIVATION_CONTEXT_STACK
   +0x1bc SpareBytes1      : [24] UChar
   +0x1d4 GdiTebBatch      : _GDI_TEB_BATCH
   +0x6b4 RealClientId     : _CLIENT_ID
   +0x6bc GdiCachedProcessHandle : Ptr32 Void
   +0x6c0 GdiClientPID     : Uint4B
   +0x6c4 GdiClientTID     : Uint4B
   +0x6c8 GdiThreadLocalInfo : Ptr32 Void
   +0x6cc Win32ClientInfo  : [62] Uint4B
   +0x7c4 glDispatchTable  : [233] Ptr32 Void
   +0xb68 glReserved1      : [29] Uint4B
   +0xbdc glReserved2      : Ptr32 Void
   +0xbe0 glSectionInfo    : Ptr32 Void
   +0xbe4 glSection        : Ptr32 Void
   +0xbe8 glTable          : Ptr32 Void
   +0xbec glCurrentRC      : Ptr32 Void
   +0xbf0 glContext        : Ptr32 Void
   +0xbf4 LastStatusValue  : Uint4B
   +0xbf8 StaticUnicodeString : _UNICODE_STRING
   +0xc00 StaticUnicodeBuffer : [261] Uint2B
   +0xe0c DeallocationStack : Ptr32 Void
   +0xe10 TlsSlots         : [64] Ptr32 Void
   +0xf10 TlsLinks         : _LIST_ENTRY
   +0xf18 Vdm              : Ptr32 Void
   +0xf1c ReservedForNtRpc : Ptr32 Void
   +0xf20 DbgSsReserved    : [2] Ptr32 Void
   +0xf28 HardErrorsAreDisabled : Uint4B
   +0xf2c Instrumentation  : [16] Ptr32 Void
   +0xf6c WinSockData      : Ptr32 Void
   +0xf70 GdiBatchCount    : Uint4B
   +0xf74 InDbgPrint       : UChar
   +0xf75 FreeStackOnTermination : UChar
   +0xf76 HasFiberData     : UChar
   +0xf77 IdealProcessor   : UChar
   +0xf78 Spare3           : Uint4B
   +0xf7c ReservedForPerf  : Ptr32 Void
   +0xf80 ReservedForOle   : Ptr32 Void
   +0xf84 WaitingOnLoaderLock : Uint4B
   +0xf88 Wx86Thread       : _Wx86ThreadState
   +0xf94 TlsExpansionSlots : Ptr32 Ptr32 Void
   +0xf98 ImpersonationLocale : Uint4B
   +0xf9c IsImpersonating  : Uint4B
   +0xfa0 NlsCache         : Ptr32 Void
   +0xfa4 pShimData        : Ptr32 Void
   +0xfa8 HeapVirtualAffinity : Uint4B
   +0xfac CurrentTransactionHandle : Ptr32 Void
   +0xfb0 ActiveFrame      : Ptr32 _TEB_ACTIVE_FRAME
   +0xfb4 SafeThunkCall    : UChar
   +0xfb5 BooleanSpare     : [3] UChar

typedef struct _NT_TIB          //sizeof  1ch  
{  
 00h   struct _EXCEPTION_REGISTRATION_RECORD  *ExceptionList;   3环异常链表
 04h   PVOID                            StackBase;  栈底
 08h   PVOID                            StackLimit; 栈的大小
 0ch   PVOID                            SubSystemTib;  
       union {  
           PVOID                FiberData;  
 10h       DWORD                Version;     版本信息
       };  
 14h   PVOID                            ArbitraryUserPointer;  
 18h   struct _NT_TIB                   *Self;   指向自己结构体的指针,即为NtCurrentTeb() 函数所读出的TEB结构体指针
}NT_TIB;

PEB

nt!_PEB
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
+0x002 BeingDebugged : UChar 当前进程是否处于调试状态 IsDebuggerPresent()就是读取的这个值
+0x003 SpareBool : UChar
+0x004 Mutant : Ptr32 Void
+0x008 ImageBaseAddress : Ptr32 Void //进程的ImageBase
+0x00c Ldr : Ptr32 _PEB_LDR_DATA 指向 _PEB_LDR_DATA结构 里面有模块链表
+0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
+0x014 SubSystemData : Ptr32 Void
+0x018 ProcessHeap : Ptr32 Void 进程3环下所有堆栈的链表头
+0x01c FastPebLock : Ptr32 _RTL_CRITICAL_SECTION
+0x020 FastPebLockRoutine : Ptr32 Void
+0x024 FastPebUnlockRoutine : Ptr32 Void
+0x028 EnvironmentUpdateCount : Uint4B
+0x02c KernelCallbackTable : Ptr32 Void 内核回调表 KeUserModeCallBack的第一个参数就是这个表的索引,内核回调回三环的位置,由这个函数决定。
+0x030 SystemReserved : [1] Uint4B
+0x034 AtlThunkSListPtr32 : Uint4B
+0x038 FreeList : Ptr32 _PEB_FREE_BLOCK
+0x03c TlsExpansionCounter : Uint4B
+0x040 TlsBitmap : Ptr32 Void
+0x044 TlsBitmapBits : [2] Uint4B
+0x04c ReadOnlySharedMemoryBase : Ptr32 Void
+0x050 ReadOnlySharedMemoryHeap : Ptr32 Void
+0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void
+0x058 AnsiCodePageData : Ptr32 Void
+0x05c OemCodePageData : Ptr32 Void
+0x060 UnicodeCaseTableData : Ptr32 Void
+0x064 NumberOfProcessors : Uint4B
+0x068 NtGlobalFlag : Uint4B
+0x070 CriticalSectionTimeout : _LARGE_INTEGER
+0x078 HeapSegmentReserve : Uint4B
+0x07c HeapSegmentCommit : Uint4B
+0x080 HeapDeCommitTotalFreeThreshold : Uint4B
+0x084 HeapDeCommitFreeBlockThreshold : Uint4B
+0x088 NumberOfHeaps : Uint4B
+0x08c MaximumNumberOfHeaps : Uint4B
+0x090 ProcessHeaps : Ptr32 Ptr32 Void
+0x094 GdiSharedHandleTable : Ptr32 Void
+0x098 ProcessStarterHelper : Ptr32 Void
+0x09c GdiDCAttributeList : Uint4B
+0x0a0 LoaderLock : Ptr32 Void
+0x0a4 OSMajorVersion : Uint4B
+0x0a8 OSMinorVersion : Uint4B
+0x0ac OSBuildNumber : Uint2B
+0x0ae OSCSDVersion : Uint2B
+0x0b0 OSPlatformId : Uint4B
+0x0b4 ImageSubsystem : Uint4B
+0x0b8 ImageSubsystemMajorVersion : Uint4B
+0x0bc ImageSubsystemMinorVersion : Uint4B
+0x0c0 ImageProcessAffinityMask : Uint4B
+0x0c4 GdiHandleBuffer : [34] Uint4B
+0x14c PostProcessInitRoutine : Ptr32 void
+0x150 TlsExpansionBitmap : Ptr32 Void
+0x154 TlsExpansionBitmapBits : [32] Uint4B
+0x1d4 SessionId : Uint4B
+0x1d8 AppCompatFlags : _ULARGE_INTEGER
+0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER
+0x1e8 pShimData : Ptr32 Void
+0x1ec AppCompatInfo : Ptr32 Void
+0x1f0 CSDVersion : _UNICODE_STRING
+0x1f8 ActivationContextData : Ptr32 Void
+0x1fc ProcessAssemblyStorageMap : Ptr32 Void
+0x200 SystemDefaultActivationContextData : Ptr32 Void
+0x204 SystemAssemblyStorageMap : Ptr32 Void
+0x208 MinimumStackCommit : Uint4B

ntdll!_PEB_LDR_DATA  
   +0x000 Length            //结构体大小 
   +0x004 Initialized      //进程是否初始化完成
   +0x008 SsHandle 
   +0x00c InLoadOrderModuleList : _LIST_ENTRY   模块加载的顺序  _LIST_ENTRY   里面的指针指向LDR_DATA_TABLE_ENTRY结构
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY  在内存中的顺序
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY   初始化的顺序
   +0x024 EntryInProgress
   +0x028 ShutdownInProgress
   +0x02c ShutdownThreadId

ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
   +0x02c BaseDllName      : _UNICODE_STRING
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 Void
   +0x04c PatchInformation : Ptr32 Void

遍历进程中的所有模块


#include <windows.h>
#include <stdio.h>

typedef struct _UNICODE_STRING {
	USHORT  Length;
	USHORT  MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	DWORD SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	DWORD Flags;
	WORD LoadCount;
	WORD TlsIndex;
	LIST_ENTRY HashLinks;
	PVOID SectionPointer;
	DWORD CheckSum;
	DWORD TimeDateStamp;
	PVOID LoadedImports;
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

int main(int argc, char * argv[])
{

	DWORD dwImageBase = 0;
	PLIST_ENTRY pList = NULL;
	PLIST_ENTRY pListHead = NULL;
	__asm {
		//获取PEB
		mov eax,fs:0x30
		//通过PEB,获取Ldr 
		mov ebx,[eax+0xc]
		//_LIST_ENTRY   
		mov eax, [ebx + 0xc]
		mov pListHead,eax
	
	} //ntdll.dll
		//断链ntdll
	pList = pListHead->Blink;
	while (pList!= pListHead)
	{
		if (((PLDR_DATA_TABLE_ENTRY)pList)->DllBase!=0)
		{
			if (!_wcsicmp(((PLDR_DATA_TABLE_ENTRY)pList)->BaseDllName.Buffer, L"ntdll.dll"))
			{
				//下一个指针的前一个=该指针的前一个
				pList->Flink->Blink = pList->Blink;
				//前一个指针的下一个=该指针的下一个
				pList->Blink->Flink = pList->Flink;
				break;
			}
		}
	
		
		pList = pList->Blink;
	}


//遍历模块
	pList = pListHead->Blink;
	while (pList!= pListHead)
	{
		if (((PLDR_DATA_TABLE_ENTRY)pList)->DllBase!=0)
		{
			printf("模块名=%S     ", ((PLDR_DATA_TABLE_ENTRY)pList)->BaseDllName.Buffer);
			printf("模块路径=%S   ", ((PLDR_DATA_TABLE_ENTRY)pList)->FullDllName.Buffer);
			printf("模块基址=%x   ", (DWORD)((PLDR_DATA_TABLE_ENTRY)pList)->DllBase);
			printf("模块大小=%x\n", ((PLDR_DATA_TABLE_ENTRY)pList)->SizeOfImage);
		}
		
		pList = pList->Blink;
	}
	
	getchar();
	return 0;
}
PEB
hongduilanjun的博客
03-18 2159
这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB在用户层内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3PEB 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEBPEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
c语言隐藏dll,利用C++ R3实现模块隐藏功能
weixin_39765840的博客
05-20 1422
一、模块隐藏的实现原理普通API查找模块实现思路:其通过查询在R3中的PEB(Process Environment Block 进程境块)与TEB(Thread Environment Block 进程境块)来找到一个双向表,通过遍历双向表中某一成员(字符串)来查找全部模块模块隐藏实现思路:在R3层的模块隐藏,我们需要做的就是将其该,将某一模块从这个双向表中摘除,这样再调用传...
通过TEB/PEB枚举当前进程空间中用户模块列表
03-22 1692
作者:scz 主页:http://www.nsfocus.net日期:2003-09-03这只是我一篇巨长无比的笔记中的一小节,因此只列了本节所引参考资源,可我还是很乐意向大家推荐[8]、[10]。如果对你有用,是否也可以给我订份小礼物,呵,小玩笑啦。☆ 通过TEB/PEB枚举当前进程空间中用户模块列表实在没精力找出最早介绍该项技术的文章,尽管很想知道答案。29A杂志中大量使用该技术([8]),并
[Rootkit] 修改 peb 隐藏 dll(
LYSM
04-16 1028
原理 PEB 中有一个成员 Ldr: typedef struct _PEB { UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG ImageUsesLargePages: 1; ULONG IsProtectedProcess: 1; ULONG IsLegacyProcess:
0PEB
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-08 359
在操作系统层面上,进程本质上就是一个结构体,当操作系统想要创建一个进程时,就分配一块内存,填入一个结构体,并为结构体中的每一项填充一些具体值。结构的地址,但是这里注意,因为这个结构的地址是指向下一个表的地址,所以如果要得到。这个表跟进程隐藏有关,只要我们把想要隐藏进程对应的。结构,但指向的并不是EPROCESS的首地址,而是每一个进程的。它是双向表,所有的活动进程都连接在一起,构成了一个表。的掉,就可以达到在0进程隐藏的目的。进程,这里0x88偏移存放的就是下一个。前四个字节指向的是下一个。
修改PEB,隐藏模块成功
weixin_34319999的博客
06-24 442
修改PEB,隐藏模块成功 继续实践之前的想法,就是掉如下这个结构中的双向表: typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY...
C++ R3模块隐藏的C++实践
在C++中,R3模块隐藏的关键在于对系统底层结构的理解操作,特别是对进程境块(PEB)线程境块(TEB)的处理。R3层通常指的是Windows操作系统内核的第三个安全层,这里的模块隐藏是通过修改这些关键数据结构来...
Windows进程模块查看器-支持32位64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位32位进程。
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5477
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
0PEB实现
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-09 354
修改的话是比较方便的,但是如果要使用代码来进行修改的话就需要首先定位到。从双向表中抹去的效果,这里的话如果在windbg里面直接使用。,将双向表的值修改,就可以将我们想要隐藏的这个进程的。安装驱动之后在任务管理器跟cmd里面都已经看不到。截止到昨天那里我们的思路就清晰了,通过。如果是我们想要隐藏的进程就执行操作。来判进程名是不是我们想要隐藏的进程。如果不是我们想要的进程就继续往下取。那么就可以用汇编实现找到。找到我们要隐藏的进程的。首先定义一个指针指向。
4.PEB隐藏模块
Mikasys的博客
10-25 1689
0x4 PEB隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
3PEB实现
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-07 252
来进行示范,这里要实现,最简单的做法就是让Head的FlinkBlink指向它自己。因为需要遍历表进行指向自身的操作,这里就需要写一个循进行,完整代码如下。如果要实现所有模块的隐藏,直接将模块的代码删除即可。因为这里三个双向表的结构都是一样的,这里就以。这里在没有开始的时候可以看到是由3模块的。首先通过获取到的ldr结构指向。之后,模块已经全部看不到了。然后通过汇编定位到LDR。然后将指针指向下一个结构。这个宏返回结构体基址。
JIURL玩玩Win2k进程线程篇 TEB
jiurl的专栏
08-18 2660
JIURL玩玩Win2k进程线程篇 TEB作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     TEB,Thread Environment Block,线程境块。位于用户地址空间。在比
修改PEB实现隐藏DLL
做一个快乐学习者
09-01 1621
void HideModule(void* pModule) { void* pPEB = nullptr; _asm { push eax mov eax,fs:[0x30] mov pPEB,eax pop eax } void* pLDR = *((void**)((unsigned char*)pPEB + 0xc)); void* pCurrent = ...
模块隐藏之
最新发布
m0_51681331的博客
07-25 667
关于的笔记
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2509
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
3以及后的检测方法
qq_43147121的博客
09-03 897
我们在3注入代码很多时候会选择注入dll,因为纯粹的硬编码不方便写出大量功能,而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中,其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位,但是就会导致我们的dll会在目标的peb中可见,也就是留下了痕迹。比如说,我不通过模块表来检测而是直接搜索内存找到有pe指纹的位置然后根据pe结构查看当前的模块名字,不是我自己的那就说明有人注入了模块进来。这时就可以通过3的方式隐藏这一部分痕迹。
进程结构体线程结构体
kernweak的博客
05-03 1289
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB3,EPROCESS在0。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
线程局部存储,Part 4:访问__declspec(thread)变量
云淡风轻
01-04 3260
原文网址:http://www.nynaeve.net/?p=185 昨天,我大致说了下编译器接器如何合作来支持TLS,但是并没有讲当访问__declspec(thread)变量时具体底层是个什么样子,或者说是怎么来做到的。 在解释如何访问__declspec(thread)变量的内部工作原理之前,有必要了解下tlssup.c中的几个特殊变量。这些变量被_tls_used引用来
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值