在64位系统下

gs:[0x30] 指向TEB

gs:[0x60] 指向PEB

kd> dt _TEB

nt!_TEB

   +0x000 NtTib            : _NT_TIB

    	+0x000 ExceptionList    : Ptr64 _EXCEPTION_REGISTRATION_RECORD

  	+0x008 StackBase        : Ptr64 Void

  	+0x010 StackLimit       : Ptr64 Void

  	+0x018 SubSystemTib     : Ptr64 Void

  	+0x020 FiberData        : Ptr64 Void

 	+0x020 Version          : Uint4B

 	+0x028 ArbitraryUserPointer : Ptr64 Void

 	+0x030 Self             : Ptr64 _NT_TIB

   +0x038 EnvironmentPointer : Ptr64 Void

   +0x040 ClientId         : _CLIENT_ID

   +0x050 ActiveRpcHandle  : Ptr64 Void

   +0x058 ThreadLocalStoragePointer : Ptr64 Void

   +0x060 ProcessEnvironmentBlock : Ptr64 _PEB   //此处保存着PEB地址

这里用内联汇编获得PEB基地址

.CODE

  GetPeb PROC

    mov rax,gs:[60h]

  ret

  GetPeb ENDP

 END

  声明之后即可调用该函数获得PEB地址,关于内联汇编的使用请自行百度

 extern "C" PVOID64 _cdecl GetPeb();

  下面在看PEB结构

 kd> dt _PEB

nt!_PEB

   +0x000 InheritedAddressSpace : UChar

   +0x001 ReadImageFileExecOptions : UChar

   +0x002 BeingDebugged    : UChar

   +0x003 BitField         : UChar

   +0x003 ImageUsesLargePages : Pos 0, 1 Bit

   +0x003 IsProtectedProcess : Pos 1, 1 Bit

   +0x003 IsLegacyProcess  : Pos 2, 1 Bit

   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit

   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit

   +0x003 SpareBits        : Pos 5, 3 Bits

   +0x008 Mutant           : Ptr64 Void

   +0x010 ImageBaseAddress : Ptr64 Void

   +0x018 Ldr              : Ptr64 _PEB_LDR_DATA    //此处是LDR链的地址

kd> dt _PEB_LDR_DATA

nt!_PEB_LDR_DATA

   +0x000 Length           : Uint4B

   +0x004 Initialized      : UChar

   +0x008 SsHandle         : Ptr64 Void

   +0x010 InLoadOrderModuleList : _LIST_ENTRY

   +0x020 InMemoryOrderModuleList : _LIST_ENTRY

   +0x030 InInitializationOrderModuleList : _LIST_ENTRY
InLoadOrderModuleList            模块加载顺序
InMemoryOrderModuleList          模块在内存中的顺序
InInitializationOrderModuleList  模块初始化装载顺序
kd> dt _LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x010 InMemoryOrderLinks : _LIST_ENTRY

   +0x020 InInitializationOrderLinks : _LIST_ENTRY

   +0x030 DllBase          : Ptr64 Void

   +0x038 EntryPoint       : Ptr64 Void

   +0x040 SizeOfImage      : Uint4B

   +0x048 FullDllName      : _UNICODE_STRING

   +0x058 BaseDllName      : _UNICODE_STRING

将结构都列举出来了之后,下面就是通过PEB和看到的偏移获取到模块基地址。

#include<windows.h>

extern "C" PVOID64 _cdecl GetPeb();

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

}UNICODE_STRING, *PUNICODE_STRING;

int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])

{

    PVOID64 Peb = GetPeb();

    PVOID64 LDR_DATA_Addr = *(PVOID64**)((BYTE*)Peb+0x018);  //0x018是LDR相对于PEB偏移   存放着LDR的基地址

    UNICODE_STRING* FullName;

    HMODULE hKernel32 = NULL;

    LIST_ENTRY* pNode = NULL;

    pNode =(LIST_ENTRY*)(*(PVOID64**)((BYTE*)LDR_DATA_Addr+0x30));  //偏移到InInitializationOrderModuleList

    while(true)

    {

        FullName = (UNICODE_STRING*)((BYTE*)pNode+0x38);//BaseDllName基于InInitialzationOrderModuList的偏移

        if(*(FullName->Buffer+)=='\0')

        {

            hKernel32 = (HMODULE)(*((ULONG64*)((BYTE*)pNode+0x10)));//DllBase

            break;

        }

        pNode = pNode->Flink;

    }

    printf("%p",hKernel32);

    return ;

}

第一个是Ntdll,第二个是KERNELBASE,第三个就是Kernel32

记录学习。

Windows x64位通过PEB获得Kernel32基地址的更多相关文章

  1. 【AUTO Uninstaller 中文版-详细使用教程】AUTODESK系列软件MAYA/CAD/3DSMAX/INVENTOR终极完美修复卸载工具 Windows x64位 【原创搬家】

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  2. AUTO Uninstaller【教程】AUTODESK系列软件MAYA,3DSMAX,CAD,INVENTOR,REVIT修复卸载工具 Windows x64位

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  3. x64位windows上程序开发的注意事项

    在Windows上面32位与64位的区别有: 1.指针大小的区别,sizeof(int *)在32bit下面是4个字节,在64bit下面是8个字节 2.size_t的区别,size_t在32bit下面 ...

  4. 深入理解Windows X64调试

    随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享. ...

  5. Bypassing PatchGuard on Windows x64

    [说明] 1.  本文是意译,加之本人英文水平有限.windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵. 2.  由于内容较多,从word拷贝过来排版就乱了.故你也可以下载附件. 3. ...

  6. Windows 32位-调试与反调试

    1.加载调试符号链接文件并放入d:/symbols目录下. 0:000> .sympath srv*d:\symbols*http://msdl.microsoft.com/download/s ...

  7. resx文件在X64位编译,提示“未能加载文件或程序集”的问题?

    原文:resx文件在X64位编译,提示"未能加载文件或程序集"的问题? resx文件在X64位编译,提示"未能加载文件或程序集"的问题? 解答: 错误现象如下 ...

  8. [转]判断程序是否运行在 Windows x64 系统下

    以下功能代码判断是否运行在 Windows x64 下.本例使用 Windows API 函数 IsWow64Process,具体请参考MSDN文档:http://msdn.microsoft.com ...

  9. mpusher 源码编译 for windows X64

    mpusher 源码编译 for windows X64 对于java我是小白,通过一步步的摸索,将经验总结下来,给更多码友提供入门的帮助.一个人的摸索是很困难的,本教程感谢 [MPush开源消息推送 ...

随机推荐

  1. java jeesite.properties配置文件属性提取

    package com.thinkgem.jeesite.common.config; import java.io.UnsupportedEncodingException; import java ...

  2. Redis缓存穿透、缓存雪崩

    缓存穿透 缓存穿透是指查询一个一定不存在的数据,由于缓存是不命中时被动写的,并且出于容错考虑,如果从存储层查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到存储层去查询,失去了缓存的意义. ...

  3. Dapper 简单封装

    using System; using System.Collections.Generic; using System.Text; using Dapper; using System.Data; ...

  4. 转载:解决CentOS7虚拟机无法上网并设置CentOS7虚拟机使用静态IP上网

    最近在VMware虚拟机里玩Centos,装好后发现上不了网.经过一番艰辛的折腾,终于找到出解决问题的方法了.最终的效果是无论是ping内网IP还是ping外网ip,都能正常ping通.方法四步走: ...

  5. 题解 P1720 【月落乌啼算钱】

    题目链接 定义一个函数比较好求. #include<bits/stdc++.h>//万能头文件 using namespace std; double F(int x)//定义函数,为了保 ...

  6. 3. C/C++笔试面试经典题目三

    64. 如何打印出当前源文件的文件名以及源文件的当前行号? [参考答案]cout << __FILE__ ; cout<<__LINE__ ; __FILE__和__LINE_ ...

  7. SQL SERVER下有序GUID和无序GUID作为主键&聚集索引的性能表现

     背景 前段时间学习<Microsoft SQL Server 2008技术内幕:T-SQL查询>时,看到里面关于无序GUID作为主键与聚集索引的建议,无序GUID作为主键以及作为聚集索引 ...

  8. setinterval 里面的方法记得加引号

    setinterval 里面的方法记得加引号 否则不执行

  9. SOAP XML报文解析

    import java.util.HashMap;import java.util.List;import java.util.Map; import org.dom4j.Document;impor ...

  10. 【原创】nginx入门

    一.简介 Nginx (engine x) 是一个高性能的HTTP和反向代理服务,也是一个IMAP/POP3/SMTP服务.Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点( ...