PEB中获取指定名称的DLL的基址

最新推荐文章于 2022-11-29 11:10:53 发布
转载 最新推荐文章于 2022-11-29 11:10:53 发布 · 1.1k 阅读 · 0

本文介绍了一种从进程环境块(PEB)中获取指定DLL基址的方法。通过遍历PEB中的InLoadOrderModuleList列表,将每个模块名称转换为ANSI字符串并与目标DLL名称进行比较,如果匹配则返回该DLL的基址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

//先从PEB中获取指定名称的DLL的基址

ULONG GetModuleHandleFromProcessPEB(ULONG Peb,char *szDllName)
{
 PPEB_LDR_DATA pLdrData;
 PLDR_DATA_TABLE_ENTRY pLdrDataEntry;
 PLIST_ENTRY pListHead,pListNext;
 ANSI_STRING ansiDllName;
 ULONG DllBase=0;
 __try
 {
  pLdrData=(PPEB_LDR_DATA)*(ULONG*)((char*)Peb+0xC);
  pListHead=&(pLdrData->InLoadOrderModuleList);
  pListNext=pListHead->Flink;
  for (pListHead;pListNext!=pListHead;pListNext=pListNext->Flink)
  {
   pLdrDataEntry=(PLDR_DATA_TABLE_ENTRY)pListNext;
   if (pLdrDataEntry->BaseDllName.Buffer)
   {
    RtlUnicodeStringToAnsiString(&ansiDllName,& (pLdrDataEntry->BaseDllName),TRUE);
    //dprintf("Base=0x%08X %s\n",pLdrDataEntry->DllBase,ansiDllName.Buffer);
    if (!_stricmp(szDllName,ansiDllName.Buffer))
    {
     DllBase=(ULONG)pLdrDataEntry->DllBase;
    }
    RtlFreeAnsiString(&ansiDllName);
    //若找到就退出循环
    if (DllBase) break;
   }//end of if
   
  }
  return DllBase;
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  DbgPrint("Error occured while searching module in PEB.\n");
  return 0;
 }
}

whowho
关注
搜索PEB结构获取Kernel32.dll基址
strongxu的专栏
11-04 3232
    TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA     该结构的后三个成员是指向LDR_MODULE链表结构中相应三条双向链表头的指针,分别是按照加载顺序、在内存中地址顺序和初始化顺序排列的模块信息结构的指针。       Peb->Ldr->Initializat
Windows10 x64 获取PEB表,并获取ntdll基址
want的博客
10-31 3734
1.Windows通过TEB封装信息,TEB中包含PEB表,如图: 具体过程是从teb->peb->ldr->InInitializationOrderModuleList->dll模块基址,经过一系列的结构体偏移得到模块初始化装载顺序. 2.dt _TEB 可以看到PEB表偏移 kd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x038 EnvironmentPointer : Ptr64
学习笔记通过PEB获取kernal32.dll基地址
popkun222的专栏
03-06 1423
原始代码来自PE权威指南 ;------------------------ ; 获取kernel32.dll基址 ; 从PEB结构中搜索kernel32.dll的基地址 ; 戚利 ; 2010.6.27 ;------------------------ .386 .model flat,stdcall option casemap:none ...
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2861
win10 x64内存注入DLL,可以躲避相关api检测模块
通过PEB获取模块基址
whatday的专栏
09-24 1497
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEBPEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA PEB结构 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptio...
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows 7中,可以使用类似上述的技巧来编写能够找到kernel32.dll基址并调用其中的函数,如`CreateProcess`,以启动calc.exe的shellcode。 总之,定位kernel32.dll基地址是编写跨平台、跨版本的Windows shellcode...
利用Ldr获得加载的DLL基址
For Geek
05-10 1559
利用链如下: fs寄存器 -> TEB -> PEB -> PEB_LDR_DATA -> LIST_ENTRY -> LDR_DATA_TABLE_ENTRY -> BaseOfDll windbg 用r命令查看fs寄存器的值 根据fs段寄存器,我们找到它的GDTR,如下 找到了GDT的索引为6 对应的值gdt[6] = ffc093df`f000000...
kernel32.dll基址
最新发布
02-11
具体来说,可以从 PEB读取 Ldr 字段并解析相应的链表节点直到找到名称匹配 "KERNEL32.DLL" 的条目为止[^2]。 需要注意的是,上述两种方法适用于不同的场景需求——前者简单易行适合大多数情况;后者则提供了更为...
Windows x64平台 获取PEB表,并获取kernel32.dll基址,并获取它的函数
MusicMan
05-31 5596
参考了:https://www.cnblogs.com/aliflycoris/p/5185097.html 和另一位博主 话不多说,进入正题: 首先是获取PEB基址,先得懂怎么在64位平台嵌入汇编代码:参考这位博主https://blog.youkuaiyun.com/Giser_D/article/details/90670974 汇编代码: .CODE GetPeb PRO...
列举系统中所有进程和他们加载的模块
10-19
列举系统中的所有进程,并显示他们加载的模块。 使用第三方的自动调整大小的界面控件。 这个很基本,仅供新手参考。
获取模块句柄/基址
ko999123的博客
11-12 9515
#include HMODULE h = GetModuleHandle(NULL);// 传入对应模块名,NULL表示取当前模块 PS:可在属性->链接->高级->基址:修改基址
PEB结构的获取
SauceJ的专栏
08-15 3719
PEB结构----枚举用户模块列表。 PEB
获取进程基址
热门推荐
物知馆
05-17 1万+
有很多种方法可以获得进程空间的基址: 方法一:在x86上,可以直接用汇编语言来获得: HINSTANCE ins = NULL; __asm { mov eax, fs:[0x30]; mov eax, DWORD PTR [eax+8]; mov ins, eax; } return bRet; ins就是当前进程的基址。 然而在x64
通过TEB/PEB枚举当前进程空间中用户模块列表
03-22 1692
作者:scz 主页:http://www.nsfocus.net日期:2003-09-03这只是我一篇巨长无比的笔记中的一小节,因此只列了本节所引参考资源,可我还是很乐意向大家推荐[8]、[10]。如果对你有用,是否也可以给我订份小礼物,呵,小玩笑啦。☆ 通过TEB/PEB枚举当前进程空间中用户模块列表实在没精力找出最早介绍该项技术的文章,尽管很想知道答案。29A杂志中大量使用该技术([8]),并
搞木马免杀你必须要知道: 如何编写X86环境下的ShellCode!
xf555er的博客
08-21 2419
想要学免杀,就一定要懂得如何处理shellcode, 现在很多的木马免杀操作都是用工具来处理的, 但这仅仅能绕过一小部分杀软, 一旦杀软更新病毒库, 脚本小子们就无招可施, 本篇文章将带领大家了解shellcode的原理及制作, 会后续的Shellcode免杀打下坚实基础
获取进程基址小技巧(傀儡进程)
Sven的忘却日记
07-29 2116
创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。 其实可以直接通过GetThreadContext这个...
擦除模块痕迹
土星·北海若
07-15 1669
对于擦除模块痕迹,我实验了两种方法,下面一一阐述:1.修改PEB结构,用代码说话typedef struct _PEB_LDR_DATA ...{  ULONG               Length;  BOOLEAN             Initialized;  BYTE    reserved[3];  PVOID               SsHandle;  LIS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值