PEB结构的获取

最新推荐文章于 2024-11-12 16:17:27 发布
原创 最新推荐文章于 2024-11-12 16:17:27 发布 · 3.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #结构

本文介绍了如何在32位和64位系统中获取PEB(Process Environment Block)结构,包括通过CreateProcess创建新进程获取PEB地址,以及在X64系统下利用GS寄存器找到PEB和TEB(Thread Environment Block)。通过枚举PEB的InInitializationOrderModuleList,可以得到Kernel32的基址。同时,文章提到了X64环境下内联汇编的限制和C语言实现搜索过程。

32位获取KERNEL32地址汇编代码PEB结构----枚举用户模块列表。

PEB地址的取得:

1:通过CreateProcess()创建新的被挂起的进程,此时其初始化线程上下文中,ebx 指向其PEB结构, EAX指向其EIP(代码执行地址)

demo:

CreateProcess(NULL, TARGETPROC,
                 NULL, NULL, 0, CREATE_SUSPENDED, NULL, NULL, &si, pi))    
  {
    ctx->ContextFlags=CONTEXT_FULL;
    GetThreadContext(pi->hThread, ctx); //获得线程的所有重要的寄存器CTX

    DWORD *pebInfo = (DWORD *)ctx->Ebx; //ctx->Ebx = points to PEB

2:如果线程没被挂起, 通过FS寄存器指向当前TEB结构 , 再TEB偏移0x30处是PEB指针 ,通过这个指针可以取得PEB结构的地址

demo:

__asm
{
mov eax,fs:[0x30]
mov PEB,eax
}


3:X64程序下的FS寄存器角色已经换成了gs

暂时发现的一些东西:

gs:[0x30] TEB

gs:[0x40] Pid

gs:[0x48] Tid

gs:[0x60]  PEB

gs:[0x68]  LastError.

虽然gs:[0x60]直接存放的PEB,但是由于vista/7后的地址随机化机制,还是从TEB获取比较靠谱。

0:009> dt 000007fffff98000 _TEB
ntdll!_TEB
+0×000 NtTib            : _NT_TIB
+0×038 EnvironmentPointer : (null)
+0×040 ClientId         : _CLIENT_ID
+0×050 ActiveRpcHandle  : (null)
+0×058 ThreadLocalStoragePointer : (null)
+0×060 ProcessEnvironmentBlock : 0x000007ff`fffd5000 _PEB    //这里即是PEB
//用c语言描述就是
#define x64_GetPeb()                    ( (LONG64*)(*((LONG64*)((BYTE*)x64_GetTeb()+0×060))) )
得到了PEB,剩下的就和x86下一样了.只是偏移不一样了

0:009> dt 0x000007ff`fffd5000 _PEB
ntdll!_PEB
+0×000 InheritedAddressSpace : 0 ”
+0×001 ReadImageFileExecOptions : 0 ”
+0×002 BeingDebugged    : 0×1 ”
+0×003 BitField         : 0×8 ”
+0×003 ImageUsesLargePages : 0y0
+0×003 IsProtectedProcess : 0y0
+0×003 IsLegacyProcess  : 0y0
+0×003 IsImageDynamicallyRelocated : 0y1
+0×003 SkipPatchingUser32Forwarders : 0y0
+0×003 SpareBits        : 0y000
+0×008 Mutant           : 0xffffffff`ffffffff Void
+0×010 ImageBaseAddress : 0×00000000`ff310000 Void
+0×018 Ldr              : 0×00000000`77222640 _PEB_LDR_DATA

0:009> dt 0×00000000`77222640 _PEB_LDR_DATA
ntdll!_PEB_LDR_DATA
+0×000 Length           : 0×58
+0×004 Initialized      : 0×1 ”
+0×008 SsHandle         : (null) //length 8 ,32位系统length 4
+0×010 InLoadOrderModuleList : _LIST_ENTRY [ 0x00000000`00202780 - 0x2421b0 ]   //length 0x10h , x86 length 0x8h .结构多8字节
+0×020 InMemoryOrderModuleList : _LIST_ENTRY [ 0x00000000`00202790 - 0x2421c0 ]  //同上
+0×030 InInitializationOrderModuleList : _LIST_ENTRY [ 0x00000000`00202890 - 0x2421d0 ]  //同上
同样的,搜索InInitializationOrderModuleList 即可得到Kernel32的基址.

由于x64下vs2005没法直接使用内联汇编,所以只把必须使用汇编来做的事情写成单独的asm

x64下.指针的长度已经是8个字节,所以偏移不一样了.

0:009> dt _LDR_DATA_TABLE_ENTRY
ntdll!_LDR_DATA_TABLE_ENTRY
+0×000 InLoadOrderLinks : _LIST_ENTRY
+0×010 InMemoryOrderLinks : _LIST_ENTRY
+0×020 InInitializationOrderLinks : _LIST_ENTRY
+0×030 DllBase          : Ptr64 Void
+0×038 EntryPoint       : Ptr64 Void
+0×040 SizeOfImage      : Uint4B
+0×048 FullDllName      : _UNICODE_STRING

C语言表示x64搜索过程:

HMODULE x64_GetKernel32(void)
{
	HMODULE	hKernel32 = NULL;
	UNICODE_STRING * pBaseName = NULL;
	LIST_ENTRY * pNode = NULL;
	pNode = X64_GetPebInitOrderList();
	while{1}
	{
		pBaseName = (UNICODE_STRING *)((BYTE *)pNode + 0x038);
		if (*(pBaseName->Buffer)+12=='\0')
		{
			/* code */
			hKernel32 = (HMODULE)(*((LONG64*)((BYTE*)pNode+0x010)));
			break;
		}
		pNode = pNode->Flink;
	}
	return hKernel32;
}


win7 x64下测试通过win7 x64下测试通过

32位程序的通用Kernel32地址获取方法

 

 

TEB与PEB结构定位、PE结构导入表与导出表定位
摔不死的笨鸟的博客
08-10 1119
TEB定位 PE导入表导出表定位PEB定位到模块基址PE定位到导出表PE定位到导入表 对于windows可执行文件的研究与学习,学会TEB PEB结构以及PE结构是必经之路。 PEB定位到模块基址 使用Windbg和OD同时分析软件 线程环境块 TEB+0X30==PEB ProcessEnvironmentBlock进程环境块 三个入口点我们取了第三个...
32位/64位 获得进程peb的方法
HsinTsao的博客
03-05 3516
逐渐将博客园的文章搬到优快云来吧。基于上一篇文章获取peb结构,大概了解了peb获取方法,但是那个方法只能获得当前进程的PEB,不能获得其他的进程的PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess,获得进程信息,然后去读对方进程Rea...
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3822
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6449
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取peb的地址。大家不妨试试,直接将
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2545
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
C++ 反反调试(PEB
墨鱼菜鸡
09-10 492
PEB 反调试参考这篇文章 没错,这也是我写的。(/手动滑稽) 把之前的程序用原版 OD 打开,根据控制台里的 PEB 地址,找到对应的内存地址: 根据 BeingDebugged 、 NtGlobalFlag 在 ...
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1453
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
进程peb结构、获得peb的方法
aijuzhou1959的博客
02-13 643
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb结构申明: typedef struct _UNICODE_STR { U...
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1223
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
易语言获取“TEB/PEB结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
搜索PEB结构获取Kernel32.dll基址
strongxu的专栏
11-04 3273
    TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA     该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针,分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。       Peb->Ldr->Initializat
通过PEB获取模块基址
whatday的专栏
09-24 1522
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA PEB结构 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptio...
Windows x64平台 获取PEB表,并获取kernel32.dll的基址,并获取它的函数
MusicMan
05-31 5784
参考了:https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一位博主 话不多说,进入正题: 首先是获取PEB基址,先得懂怎么在64位平台嵌入汇编代码:参考这位博主https://blog.youkuaiyun.com/Giser_D/article/details/90670974 汇编代码: .CODE GetPeb PRO...
四种方法获取Teb和Peb
QXinHan的博客
12-05 3373
CTF-RE 从0到N: windows反调试-获取Process Environment Block(PEB)信息来检测调试
weixin_59166557的博客
11-12 807
在Windows操作系统中,Process Environment Block (PEB,进程环境块) 是一个包含特定进程信息的数据结构。它可以被用于反调试中。
PEB结构
ShadowAssassin的专栏
01-25 6315
PEB进程环境快,下面是其一些结构 //===============================================================================================// typedef struct _UNICODE_STR { USHORT Length; USHORT MaximumLength; PWSTR pB
peb结构和pe结构是一个东西吗
最新发布
08-01
### PEB 结构与 PE 结构是否为同一概念 PEB(Process Environment Block)和 PE(Portable Executable)结构并非同一概念,尽管它们都与 Windows 操作系统的进程和可执行文件相关。 PEB 是 Windows 操作系统中用于存储进程级别信息的数据结构。它包含与进程运行环境相关的信息,如加载的模块列表、堆信息、命令行参数、环境变量等。每个进程都有一个唯一的 PEB,位于用户模式地址空间中,可以通过 TEB(线程环境块)的偏移 0x30 处获取其地址。此外,还可以通过未公开的系统调用 `NtQueryInformationProcess` 获取 PEB 的地址[^2]。 PE 结构则是指 Windows 可执行文件(如 EXE 或 DLL)的文件格式标准。它定义了可执行文件在磁盘上的布局,包括文件头、节区表、导入表、导出表、资源数据等信息。PE 文件结构是操作系统加载器用来将程序加载到内存并执行的基础。当一个进程被创建时,其主模块(通常是 EXE 文件)会以 PE 格式被映射到内存中,而 PEB 中的 `ImageBaseAddress` 字段就指向该模块的基地址[^1]。 虽然 PEB 和 PE 结构密切相关,但它们的功能和作用不同:PEB 是运行时的进程信息容器,而 PE 是静态文件格式的描述。例如,PEB 中的 `Ldr` 成员指向一个包含进程已加载模块的链表,每个模块的基地址可以通过 PE 文件结构中的 `ImageBaseAddress` 字段获取。在逆向工程或系统调试中,分析 PEB 和 PE 结构可以帮助理解进程的加载行为、模块依赖和内存布局。 ### 示例:通过 PEB 获取主模块的 PE 结构 ```asm ; 假设使用 MASM 汇编器,以下代码演示如何通过 TEB 获取 PEB,再获取主模块基地址 mov eax, fs:[30h] ; 获取 PEB 地址(TEB + 0x30) mov eax, [eax + 0Ch] ; 获取 Ldr 成员(指向 PEB_LDR_DATA 结构) mov eax, [eax + 14h] ; 获取 InMemoryOrderModuleList(第一个模块) mov eax, [eax] ; 获取下一个模块(即主模块) mov eax, [eax + 18h] ; 获取主模块的基地址(即 PE 文件的加载地址) ``` 上述代码展示了如何通过 PEB 结构定位到主模块的 PE 文件基地址,从而进一步解析 PE 文件头和节区信息。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值