获得目标进程PEB,并获得进程各种信息

最新推荐文章于 2023-12-05 00:31:33 发布
最新推荐文章于 2023-12-05 00:31:33 发布
阅读量5.8k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
分类专栏: windows编程 c/c++ 文章标签: windows c语言 PEB 进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_34260423/article/details/55096488
本文介绍了一种方法,通过OpenProcess、NtWow64QueryInformationProcess64和NtWow64ReadVirtualMemory64函数,获取x64和x86进程的PEB结构以及环境变量等详细信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本程序可完美获得x64和x86程序PEB,及环境变量等信息。

程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表中微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。

// EnumPEB.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include<Windows.h>
#include<iostream>
#include <Strsafe.h>
using namespace std;

#define NT_SUCCESS(x) ((x) >= 0)

#define ProcessBasicInformation 0
typedef
NTSTATUS(WINAPI *pfnNtWow64QueryInformationProcess64)
(HANDLE ProcessHandle, UINT32 ProcessInformationClass,
	PVOID ProcessInformation, UINT32 ProcessInformationLength,
	UINT32* ReturnLength);

typedef
NTSTATUS(WINAPI *pfnNtWow64ReadVirtualMemory64)
(HANDLE ProcessHandle, PVOID64 BaseAddress,
	PVOID BufferData, UINT64 BufferLength,
	PUINT64 ReturnLength);

typedef
NTSTATUS(WINAPI *pfnNtQueryInformationProcess)
(HANDLE ProcessHandle, ULONG ProcessInformationClass,
	PVOID ProcessInformation, UINT32 ProcessInformationLength,
	UINT32* ReturnLength);

template <typename T>
struct _UNICODE_STRING_T
{
	WORD Length;
	WORD MaximumLength;
	T Buffer;
};

template <typename T>
struct _LIST_ENTRY_T
{
	T Flink;
	T Blink;
};

template <typename T, typename NGF, int A>
struct _PEB_T
{
	typedef T type;

	union
	{
		struct
		{
			BYTE InheritedAddressSpace;
			BYTE ReadImageFileExecOptions;
			BYTE BeingDebugged;
			BYTE BitField;
		};
		T dummy01;
	};
	T Mutant;
	T ImageBaseAddress;     //进程加载基地址
	T Ldr;				    
	T ProcessParameters;    //各种信息,环境变量,命令行等等
	T SubSystemData;
	T ProcessHeap;
	T FastPebLock;
	T AtlThunkSListPtr;
	T IFEOKey;
	T CrossProcessFlags;
	T UserSharedInfoPtr;
	DWORD SystemReserved;
	DWORD AtlThunkSListPtr32;
	T ApiSetMap;
	T TlsExpansionCounter;
	T TlsBitmap;
	DWORD TlsBitmapBits[2];
	T ReadOnlySharedMemoryBase;
	T HotpatchInformation;
	T ReadOnlyStaticServerData;
	T AnsiCodePageData;
	T OemCodePageData;
	T UnicodeCaseTableData;
	DWORD NumberOfProcessors;
	union
	{
		DWORD NtGlobalFlag;
		NGF dummy02;
	};
	LARGE_INTEGER CriticalSectionTimeout;
	T HeapSegmentReserve;
	T HeapSegmentCommit;
	T HeapDeCommitTotalFreeThreshold;
	T HeapDeCommitFreeBlockThreshold;
	DWORD NumberOfHeaps;
	DWORD MaximumNumberOfHeaps;
	T ProcessHeaps;
	T GdiSharedHandleTable;
	T ProcessStarterHelper;
	T GdiDCAttributeList;
	T LoaderLock;
	DWORD OSMajorVersion;
	DWORD OSMinorVersion;
	WORD OSBuildNumber;
	WORD OSCSDVersion;
	DWORD OSPlatformId;
	DWORD ImageSubsystem;
	DWORD ImageSubsystemMajorVersion;
	T ImageSubsystemMinorVersi
最低0.47元/天 解锁文章

200万优质内容无限畅学
进程peb结构、获得peb的方法
HsinTsao的博客
03-05 3388
PEB进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址:peb的结构申明:typedef struct _UNICODE_STR { USHORT Length; ...
PEB结构的获取
SauceJ的专栏
08-15 3720
PEB结构----枚举用户模块列表。 PEB
32位 64获得进程peb的方法
aijuzhou1959的博客
02-14 656
基于上一篇文章,大概了解了peb的获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess获得进程信息,然后去读对方进程ReadProcessMemory。 结...
精选_修改指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
总结来说,"修改指定进程PEB中路径和命令行信息实现进程伪装"是一种高级的系统编程技巧,涉及到Windows系统底层的进程内存操作。虽然它在特定场景下有其应用价值,但应谨慎使用,以免触犯法律或引起不必要的安全问题...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5487
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
32位/64获得进程peb的方法
HsinTsao的博客
03-05 3447
逐渐将博客园的文章搬到优快云来吧。基于上一篇文章获取peb结构,大概了解了peb的获取方法,但是那个方法只能获得当前进程PEB,不能获得其他的进程PEB。根据那个思想,获得其他进程PEB则需要注入,得到进程信息,然后进程间通信,将信息返回来,经过考虑,这个方法太复杂。下面介绍的方法是 用了一个未公开的函数NtQueryInformationProcess获得进程信息,然后去读对方进程Rea...
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1416
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
四种方法获取Teb和Peb
QXinHan的博客
12-05 2946
x64进程如何获得wow64进程PEB
lif12345的专栏
07-23 6527
介绍了如何获得wow64进程PEB
【调试技术】【入门】用户态查看PEB和TEB
此地无银
11-03 823
概述:用户态查看进程 PEB 和 TEB(通过windbg附加或启动调试的exe)
枚举PEB获取进程模块列表
08-11 286
枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先,惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出,各位看官根据情况自行添加。 [cpp] view plain copy print? typedefP...
通过PEB枚举进程中所有模块
03-29 269
背景知识网上可搜到 这儿有个视频讲得比较详细:http://www.52pojie.cn/thread-178258-1-1.html 废话不说,上代码 首先是一些结构体的定义: 1 typedef LONG KPRIORITY; 2 typedef void** PPVOID; 3 4 typedef struct _LDR_DATA_TABLE_E...
64位系统应用层获取peb
Tommy(凌飞)的专栏
12-06 6402
  最近在搞64位系统移植。今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。其实在64位系统上也可以使用上面的方式简单的获取到,但必须你的应用程序是64位的。   我们现在要将的就是不改变我们现有的32位应用程序来正确的获取到peb的地址。大家不妨试试,直接将
[内核编程]枚举进程空间内所有模块
輚至消亡
07-13 1432
环境: Win7 X64 该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。 首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。 进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, InMemoryModuleList以及InInitializationOrderModuleList的三条循环链表。 这三条循环链表中分别串着本EPROCESS对应的模块链表。其中 InLoadOrderModuleLi..
php5.2 peb 模块,WOW64通过PEB获取32/64进程模块信息
weixin_35817602的博客
03-19 477
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
Windows 得到一个进程的完整路径
FURY_QQ的博客
03-31 1601
头文件中:    #pragma once#include &lt;windows.h&gt;#include &lt;iostream&gt;using namespace std;#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) &gt;= 0)typedef struct _UNICODE_STRING{ UINT16 Length; UINT...
进程环境块(PEB)关联字段
最新发布
05-14
<think>好的,我现在需要处理用户的问题:他想了解进程环境块(PEB)中可被修改的字段,以及如何在驱动程序中校验这些字段的值。用户之前的问题是关于修改EPROCESS中的字段在驱动中校验,现在转向了PEB,可能需要更详细的信息。 首先,我需要回忆PEB的结构。PEB是用户态可访问的结构,包含进程的许多信息,比如环境变量、命令行参数、加载的模块等。根据用户提供的引用[1],PEB中的Ldr字段指向PEB_LDR_DATA结构,这个结构包含已加载模块的信息。引用[2]提到PEB中的TlsBitmapBits字段,用于TLS(线程本地存储)的位图。这些信息可能对用户的问题有帮助。 用户的需求是找出PEB中可以修改的字段,说明如何在驱动中校验。我需要确定哪些字段是用户态可修改的。比如,命令行参数、环境变量、当前目录等,通常可以通过用户态函数修改,如SetEnvironmentVariable、SetCurrentDirectory等。这些修改会反映在PEB的相应字段中。 接下来,考虑如何在内核驱动中访问PEB。每个进程的EPROCESS结构中有一个指向PEB的指针(EPROCESS->Peb)。在驱动中,可以通过PsGetProcessPeb函数或手动偏移来获取PEB地址。但需要注意不同Windows版本的结构偏移可能不同,可能需要动态获取。 然后,校验这些字段的值。比如,用户修改了命令行参数,驱动需要读取PEB中的ProcessParameters.CommandLine字段来验证。需要注意的是,用户态和内核态访问内存的方式不同,驱动需要使用ProbeForRead等函数确保安全访问用户态内存。 另外,需要考虑权限和内存保护。直接修改内核内存可能引发稳定性问题,但PEB的某些字段位于用户态空间,用户态程序可以直接修改,而驱动需要从内核态读取这些用户态指针指向的数据。 用户提供的引用[3]关于中断的内容可能与当前问题关联不大,但可能用户想了解进程切换时的行为,不过这可能属于其他问题。暂时可以忽略,专注于PEB字段的修改和校验。 需要列举具体的可修改字段,如ImagePathName、CommandLine、Environment、CurrentDirectory、TlsBitmapBits等。每个字段的修改方法和驱动校验步骤需要详细说明。 最后,生成相关问题,帮助用户深入理解,比如如何通过PEB注入DLL,或者如何保护PEB字段不被篡改。</think>### 进程环境块(PEB)中可修改字段及驱动校验方法 进程环境块(Process Environment Block, PEB)是Windows用户态进程的核心数据结构,**部分字段允许用户态程序直接或间接修改**。以下是可修改字段的详细说明及驱动校验实现方案: --- ### **1. 用户态可修改的PEB字段** #### **(1) 进程参数(ProcessParameters)** - **命令行参数(CommandLine)** 通过`GetCommandLine`和`WriteProcessMemory`修改: ```c wchar_t newCmdLine[] = L"modified_command_line"; PEB* peb = NtCurrentTeb()->ProcessEnvironmentBlock; PRTL_USER_PROCESS_PARAMETERS params = peb->ProcessParameters; WriteProcessMemory(GetCurrentProcess(), params->CommandLine.Buffer, newCmdLine, sizeof(newCmdLine), NULL); ``` **驱动校验**:通过`EPROCESS->Peb->ProcessParameters->CommandLine`读取[^1]。 - **环境变量(Environment)** 使用`SetEnvironmentVariable`修改,影响`PEB->ProcessParameters->Environment`: ```c SetEnvironmentVariable(L"INJECTED", L"TRUE"); ``` **驱动校验**:遍历`PEB->ProcessParameters->Environment`键值对。 - **当前目录(CurrentDirectory)** 通过`SetCurrentDirectory`修改: ```c SetCurrentDirectory(L"C:\\Temp"); ``` **驱动校验**:访问`PEB->ProcessParameters->CurrentDirectory.DosPath`。 #### **(2) 加载模块信息(Ldr)** - **内存中模块列表** 用户态可注入DLL或卸载模块,修改`PEB->Ldr->InLoadOrderModuleList`: ```c // 示例:隐藏模块(需直接操作链表) PLIST_ENTRY moduleEntry = &peb->Ldr->InLoadOrderModuleList; RemoveEntryList(moduleEntry); // 从链表中移除自身模块 ``` **驱动校验**:遍历`PEB->Ldr->InLoadOrderModuleList`,检查模块完整性。 #### **(3) TLS位图(TlsBitmapBits)** - **线程本地存储(TLS)槽位分配** 用户态可通过`TlsAlloc`/`TlsFree`修改`PEB->TlsBitmapBits`(引用[2]): ```c DWORD tlsIndex = TlsAlloc(); // 分配TLS索引,对应位图置1 TlsFree(tlsIndex); // 释放索引,位图置0 ``` **驱动校验**:读取`PEB->TlsBitmapBits`检查位图状态。 #### **(4) 调试标志(BeingDebugged)** - **反调试绕过** 直接修改`PEB->BeingDebugged`欺骗调试器: ```c peb->BeingDebugged = 0; // 置0表示未被调试 ``` **驱动校验**:直接读取`PEB->BeingDebugged`字段。 --- ### **2. 驱动校验实现步骤** #### **(1) 获取PEB地址** 通过`EPROCESS`结构定位PEB(需适配不同Windows版本): ```c PEPROCESS GetProcessEProcess(HANDLE pid) { PEPROCESS eprocess; PsLookupProcessByProcessId(pid, &eprocess); return eprocess; } PPEB GetProcessPeb(PEPROCESS eprocess) { return (PPEB)(*(PUCHAR*)eprocess + 0x3f8); // Win10 21H2中PEB偏移为0x3f8 } ``` #### **(2) 读取用户态内存** 由于PEB部分字段指向用户态内存(如`CommandLine.Buffer`),需使用`ProbeForRead`安全访问: ```c NTSTATUS ReadUserModeString(PVOID userBuffer, ULONG length, WCHAR* output) { __try { ProbeForRead(userBuffer, length, 1); RtlCopyMemory(output, userBuffer, length); return STATUS_SUCCESS; } __except (EXCEPTION_EXECUTE_HANDLER) { return GetExceptionCode(); } } ``` #### **(3) 校验字段示例(以CommandLine为例)** ```c NTSTATUS VerifyCommandLine(HANDLE pid, const WCHAR* expectedCmd) { PEPROCESS eprocess = GetProcessEProcess(pid); PPEB peb = GetProcessPeb(eprocess); PRTL_USER_PROCESS_PARAMETERS params = peb->ProcessParameters; // 读取用户态命令行缓冲区 WCHAR cmdLine[256] = {0}; NTSTATUS status = ReadUserModeString(params->CommandLine.Buffer, params->CommandLine.Length, cmdLine); ObDereferenceObject(eprocess); if (NT_SUCCESS(status) && wcsstr(cmdLine, expectedCmd) != NULL) { return STATUS_SUCCESS; } return STATUS_UNSUCCESSFUL; } ``` --- ### **3. 注意事项** 1. **字段偏移适配** `PEB`和`RTL_USER_PROCESS_PARAMETERS`的偏移量随系统版本变化,需动态获取(如通过特征码或`PsGetProcessPeb`函数)。 2. **用户态内存访问** 直接读取用户态指针(如`CommandLine.Buffer`)需使用`__try/__except`块防止蓝屏。 3. **反篡改机制** 部分安全软件会监控`PEB->BeingDebugged`或`Ldr`链表,修改这些字段可能触发检测。 --- ### **4. 完整驱动校验示例** #### **(1) 用户态程序(修改命令行)** ```c #include <windows.h> int main() { PEB* peb = NtCurrentTeb()->ProcessEnvironmentBlock; PRTL_USER_PROCESS_PARAMETERS params = peb->ProcessParameters; wchar_t newCmd[] = L"modified_by_user"; WriteProcessMemory(GetCurrentProcess(), params->CommandLine.Buffer, newCmd, sizeof(newCmd), NULL); return 0; } ``` #### **(2) 内核驱动(校验命令行)** ```c NTSTATUS DriverEntry() { HANDLE pid = /* 目标进程PID */; WCHAR expectedCmd[] = L"modified_by_user"; return VerifyCommandLine(pid, expectedCmd); } ``` --- ### **相关问题** 1. 如何通过修改`PEB->Ldr`链表实现DLL隐藏? 2. 驱动中如何动态获取不同系统版本的`PEB`结构偏移? 3. 修改`PEB->BeingDebugged`能否绕过所有调试器的检测? 4. 如何保护进程的`PEB`字段不被恶意篡改? [^1]: `PEB->ProcessParameters`中的字段需通过`RtlQueryProcessDebugInformation`获取详细信息。 [^2]: `TlsBitmapBits`的修改需同步更新线程的TLS槽位,避免内存泄漏。 [^3]: 操作`PEB->Ldr`链表时需注意线程同步问题,防止链表断裂导致进程崩溃。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值