在64位系统下

gs:[0x30] 指向TEB

gs:[0x60] 指向PEB

kd> dt _TEB

nt!_TEB

   +0x000 NtTib            : _NT_TIB

    	+0x000 ExceptionList    : Ptr64 _EXCEPTION_REGISTRATION_RECORD

  	+0x008 StackBase        : Ptr64 Void

  	+0x010 StackLimit       : Ptr64 Void

  	+0x018 SubSystemTib     : Ptr64 Void

  	+0x020 FiberData        : Ptr64 Void

 	+0x020 Version          : Uint4B

 	+0x028 ArbitraryUserPointer : Ptr64 Void

 	+0x030 Self             : Ptr64 _NT_TIB

   +0x038 EnvironmentPointer : Ptr64 Void

   +0x040 ClientId         : _CLIENT_ID

   +0x050 ActiveRpcHandle  : Ptr64 Void

   +0x058 ThreadLocalStoragePointer : Ptr64 Void

   +0x060 ProcessEnvironmentBlock : Ptr64 _PEB   //此处保存着PEB地址

这里用内联汇编获得PEB基地址

.CODE

  GetPeb PROC

    mov rax,gs:[60h]

  ret

  GetPeb ENDP

 END

  声明之后即可调用该函数获得PEB地址,关于内联汇编的使用请自行百度

 extern "C" PVOID64 _cdecl GetPeb();

  下面在看PEB结构

 kd> dt _PEB

nt!_PEB

   +0x000 InheritedAddressSpace : UChar

   +0x001 ReadImageFileExecOptions : UChar

   +0x002 BeingDebugged    : UChar

   +0x003 BitField         : UChar

   +0x003 ImageUsesLargePages : Pos 0, 1 Bit

   +0x003 IsProtectedProcess : Pos 1, 1 Bit

   +0x003 IsLegacyProcess  : Pos 2, 1 Bit

   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit

   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit

   +0x003 SpareBits        : Pos 5, 3 Bits

   +0x008 Mutant           : Ptr64 Void

   +0x010 ImageBaseAddress : Ptr64 Void

   +0x018 Ldr              : Ptr64 _PEB_LDR_DATA    //此处是LDR链的地址

kd> dt _PEB_LDR_DATA

nt!_PEB_LDR_DATA

   +0x000 Length           : Uint4B

   +0x004 Initialized      : UChar

   +0x008 SsHandle         : Ptr64 Void

   +0x010 InLoadOrderModuleList : _LIST_ENTRY

   +0x020 InMemoryOrderModuleList : _LIST_ENTRY

   +0x030 InInitializationOrderModuleList : _LIST_ENTRY
InLoadOrderModuleList            模块加载顺序
InMemoryOrderModuleList          模块在内存中的顺序
InInitializationOrderModuleList  模块初始化装载顺序
kd> dt _LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x010 InMemoryOrderLinks : _LIST_ENTRY

   +0x020 InInitializationOrderLinks : _LIST_ENTRY

   +0x030 DllBase          : Ptr64 Void

   +0x038 EntryPoint       : Ptr64 Void

   +0x040 SizeOfImage      : Uint4B

   +0x048 FullDllName      : _UNICODE_STRING

   +0x058 BaseDllName      : _UNICODE_STRING

将结构都列举出来了之后,下面就是通过PEB和看到的偏移获取到模块基地址。

#include<windows.h>

extern "C" PVOID64 _cdecl GetPeb();

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

}UNICODE_STRING, *PUNICODE_STRING;

int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])

{

    PVOID64 Peb = GetPeb();

    PVOID64 LDR_DATA_Addr = *(PVOID64**)((BYTE*)Peb+0x018);  //0x018是LDR相对于PEB偏移   存放着LDR的基地址

    UNICODE_STRING* FullName;

    HMODULE hKernel32 = NULL;

    LIST_ENTRY* pNode = NULL;

    pNode =(LIST_ENTRY*)(*(PVOID64**)((BYTE*)LDR_DATA_Addr+0x30));  //偏移到InInitializationOrderModuleList

    while(true)

    {

        FullName = (UNICODE_STRING*)((BYTE*)pNode+0x38);//BaseDllName基于InInitialzationOrderModuList的偏移

        if(*(FullName->Buffer+)=='\0')

        {

            hKernel32 = (HMODULE)(*((ULONG64*)((BYTE*)pNode+0x10)));//DllBase

            break;

        }

        pNode = pNode->Flink;

    }

    printf("%p",hKernel32);

    return ;

}

第一个是Ntdll,第二个是KERNELBASE,第三个就是Kernel32

记录学习。

Windows x64位通过PEB获得Kernel32基地址的更多相关文章

  1. 【AUTO Uninstaller 中文版-详细使用教程】AUTODESK系列软件MAYA/CAD/3DSMAX/INVENTOR终极完美修复卸载工具 Windows x64位 【原创搬家】

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  2. AUTO Uninstaller【教程】AUTODESK系列软件MAYA,3DSMAX,CAD,INVENTOR,REVIT修复卸载工具 Windows x64位

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  3. x64位windows上程序开发的注意事项

    在Windows上面32位与64位的区别有: 1.指针大小的区别,sizeof(int *)在32bit下面是4个字节,在64bit下面是8个字节 2.size_t的区别,size_t在32bit下面 ...

  4. 深入理解Windows X64调试

    随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享. ...

  5. Bypassing PatchGuard on Windows x64

    [说明] 1.  本文是意译,加之本人英文水平有限.windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵. 2.  由于内容较多,从word拷贝过来排版就乱了.故你也可以下载附件. 3. ...

  6. Windows 32位-调试与反调试

    1.加载调试符号链接文件并放入d:/symbols目录下. 0:000> .sympath srv*d:\symbols*http://msdl.microsoft.com/download/s ...

  7. resx文件在X64位编译,提示“未能加载文件或程序集”的问题?

    原文:resx文件在X64位编译,提示"未能加载文件或程序集"的问题? resx文件在X64位编译,提示"未能加载文件或程序集"的问题? 解答: 错误现象如下 ...

  8. [转]判断程序是否运行在 Windows x64 系统下

    以下功能代码判断是否运行在 Windows x64 下.本例使用 Windows API 函数 IsWow64Process,具体请参考MSDN文档:http://msdn.microsoft.com ...

  9. mpusher 源码编译 for windows X64

    mpusher 源码编译 for windows X64 对于java我是小白,通过一步步的摸索,将经验总结下来,给更多码友提供入门的帮助.一个人的摸索是很困难的,本教程感谢 [MPush开源消息推送 ...

随机推荐

  1. Socket网络通讯

    网络编程 使用C#进行网络编程时,通常都需要用到System.Net命名空间.System.Net.Sockets命名空间和System.Net.Mail命名空间: 1. System.Net命名空间 ...

  2. angular 模板表单

  3. arp欺骗进行流量截获-1

    这边博文主要讲一下怎么使用arp欺骗进行流量截获,主要用于已经攻入内网以后,进行流量监听以及修改. 一.什么是arp     arp协议是以太网的基础工作协议,其主要作用是是一种将IP地址转化成物理地 ...

  4. 个人JS体系整理(三)

    一. 严格模式 JavaScript 严格模式(strict mode)即在严格的条件下运行.首先声明,严格模式是ES5中提出来的,准确来说就是一句指令Use strict,它的目的是指定代码在严格条 ...

  5. 单链表倒数第K个节点的查找和显示

    1.使用一个固定长度队列装链表段,当遍历到链表根时,返回队列头元素. class Node{ int value; Node next; public Node(int value){ this.va ...

  6. NSURLConnection 网络请求

    前言 DEPRECATED: The NSURLConnection class should no longer be used. NSURLSession is the replacement f ...

  7. MATLAB版本(2012b 64bit),在尝试调用svmtrain函数时报错

    问题:MATLAB版本(2012b 64bit),在尝试调用svmtrain函数时报错: 解决方案:参照https://blog.csdn.net/TIME_LEAF/article/details/ ...

  8. SDUT OJ 数据结构实验之二叉树三:统计叶子数

    数据结构实验之二叉树三:统计叶子数 Time Limit: 1000 ms Memory Limit: 65536 KiB Submit Statistic Discuss Problem Descr ...

  9. js 简单数据类型和复杂数据类型的区别

    原始数据类型: number,string,boolean,undefined, null,object 基本类型(简单类型),值类型: number,string,boolean 复杂类型(引用类型 ...

  10. mvc 请求处理管道

    原文 http://blog.csdn.net/wulex/article/details/41514795 当一个asp.net mvc应用程序提出请求,为了响应请求,包含一些请求执行流程步骤! 在 ...