在64位系统下

gs:[0x30] 指向TEB

gs:[0x60] 指向PEB

kd> dt _TEB

nt!_TEB

   +0x000 NtTib            : _NT_TIB

    	+0x000 ExceptionList    : Ptr64 _EXCEPTION_REGISTRATION_RECORD

  	+0x008 StackBase        : Ptr64 Void

  	+0x010 StackLimit       : Ptr64 Void

  	+0x018 SubSystemTib     : Ptr64 Void

  	+0x020 FiberData        : Ptr64 Void

 	+0x020 Version          : Uint4B

 	+0x028 ArbitraryUserPointer : Ptr64 Void

 	+0x030 Self             : Ptr64 _NT_TIB

   +0x038 EnvironmentPointer : Ptr64 Void

   +0x040 ClientId         : _CLIENT_ID

   +0x050 ActiveRpcHandle  : Ptr64 Void

   +0x058 ThreadLocalStoragePointer : Ptr64 Void

   +0x060 ProcessEnvironmentBlock : Ptr64 _PEB   //此处保存着PEB地址

这里用内联汇编获得PEB基地址

.CODE

  GetPeb PROC

    mov rax,gs:[60h]

  ret

  GetPeb ENDP

 END

  声明之后即可调用该函数获得PEB地址,关于内联汇编的使用请自行百度

 extern "C" PVOID64 _cdecl GetPeb();

  下面在看PEB结构

 kd> dt _PEB

nt!_PEB

   +0x000 InheritedAddressSpace : UChar

   +0x001 ReadImageFileExecOptions : UChar

   +0x002 BeingDebugged    : UChar

   +0x003 BitField         : UChar

   +0x003 ImageUsesLargePages : Pos 0, 1 Bit

   +0x003 IsProtectedProcess : Pos 1, 1 Bit

   +0x003 IsLegacyProcess  : Pos 2, 1 Bit

   +0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit

   +0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit

   +0x003 SpareBits        : Pos 5, 3 Bits

   +0x008 Mutant           : Ptr64 Void

   +0x010 ImageBaseAddress : Ptr64 Void

   +0x018 Ldr              : Ptr64 _PEB_LDR_DATA    //此处是LDR链的地址

kd> dt _PEB_LDR_DATA

nt!_PEB_LDR_DATA

   +0x000 Length           : Uint4B

   +0x004 Initialized      : UChar

   +0x008 SsHandle         : Ptr64 Void

   +0x010 InLoadOrderModuleList : _LIST_ENTRY

   +0x020 InMemoryOrderModuleList : _LIST_ENTRY

   +0x030 InInitializationOrderModuleList : _LIST_ENTRY
InLoadOrderModuleList            模块加载顺序
InMemoryOrderModuleList          模块在内存中的顺序
InInitializationOrderModuleList  模块初始化装载顺序
kd> dt _LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x010 InMemoryOrderLinks : _LIST_ENTRY

   +0x020 InInitializationOrderLinks : _LIST_ENTRY

   +0x030 DllBase          : Ptr64 Void

   +0x038 EntryPoint       : Ptr64 Void

   +0x040 SizeOfImage      : Uint4B

   +0x048 FullDllName      : _UNICODE_STRING

   +0x058 BaseDllName      : _UNICODE_STRING

将结构都列举出来了之后,下面就是通过PEB和看到的偏移获取到模块基地址。

#include<windows.h>

extern "C" PVOID64 _cdecl GetPeb();

typedef struct _UNICODE_STRING {

    USHORT Length;

    USHORT MaximumLength;

    PWSTR  Buffer;

}UNICODE_STRING, *PUNICODE_STRING;

int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])

{

    PVOID64 Peb = GetPeb();

    PVOID64 LDR_DATA_Addr = *(PVOID64**)((BYTE*)Peb+0x018);  //0x018是LDR相对于PEB偏移   存放着LDR的基地址

    UNICODE_STRING* FullName;

    HMODULE hKernel32 = NULL;

    LIST_ENTRY* pNode = NULL;

    pNode =(LIST_ENTRY*)(*(PVOID64**)((BYTE*)LDR_DATA_Addr+0x30));  //偏移到InInitializationOrderModuleList

    while(true)

    {

        FullName = (UNICODE_STRING*)((BYTE*)pNode+0x38);//BaseDllName基于InInitialzationOrderModuList的偏移

        if(*(FullName->Buffer+)=='\0')

        {

            hKernel32 = (HMODULE)(*((ULONG64*)((BYTE*)pNode+0x10)));//DllBase

            break;

        }

        pNode = pNode->Flink;

    }

    printf("%p",hKernel32);

    return ;

}

第一个是Ntdll,第二个是KERNELBASE,第三个就是Kernel32

记录学习。

Windows x64位通过PEB获得Kernel32基地址的更多相关文章

  1. 【AUTO Uninstaller 中文版-详细使用教程】AUTODESK系列软件MAYA/CAD/3DSMAX/INVENTOR终极完美修复卸载工具 Windows x64位 【原创搬家】

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  2. AUTO Uninstaller【教程】AUTODESK系列软件MAYA,3DSMAX,CAD,INVENTOR,REVIT修复卸载工具 Windows x64位

    小伙伴是不是遇到 MAYA/CAD/3DSMAX/INVENTOR/REVIT 安装失败或者安装不了的问题了呢?AUTODESK系列软件着实令人头疼,MAYA/CAD/3DSMAX/INVENTOR/ ...

  3. x64位windows上程序开发的注意事项

    在Windows上面32位与64位的区别有: 1.指针大小的区别,sizeof(int *)在32bit下面是4个字节,在64bit下面是8个字节 2.size_t的区别,size_t在32bit下面 ...

  4. 深入理解Windows X64调试

    随着64位操作系统的普及,都开始大力进军x64,X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享. ...

  5. Bypassing PatchGuard on Windows x64

    [说明] 1.  本文是意译,加之本人英文水平有限.windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵. 2.  由于内容较多,从word拷贝过来排版就乱了.故你也可以下载附件. 3. ...

  6. Windows 32位-调试与反调试

    1.加载调试符号链接文件并放入d:/symbols目录下. 0:000> .sympath srv*d:\symbols*http://msdl.microsoft.com/download/s ...

  7. resx文件在X64位编译,提示“未能加载文件或程序集”的问题?

    原文:resx文件在X64位编译,提示"未能加载文件或程序集"的问题? resx文件在X64位编译,提示"未能加载文件或程序集"的问题? 解答: 错误现象如下 ...

  8. [转]判断程序是否运行在 Windows x64 系统下

    以下功能代码判断是否运行在 Windows x64 下.本例使用 Windows API 函数 IsWow64Process,具体请参考MSDN文档:http://msdn.microsoft.com ...

  9. mpusher 源码编译 for windows X64

    mpusher 源码编译 for windows X64 对于java我是小白,通过一步步的摸索,将经验总结下来,给更多码友提供入门的帮助.一个人的摸索是很困难的,本教程感谢 [MPush开源消息推送 ...

随机推荐

  1. Django中使用后台网站模板

    背景: 一直想自己开发一个网站,但是前端知识又不多,好在有模板可以使用,下载地址:https://download.csdn.net/download/wjgccsdn/10843808 开干:   ...

  2. 打包发布到NPM并通过CDN访问

    本文主要讲述基于webpack编写js包文件后上传到npm,并通过cdn进行访问. 创建项目 在自己新建的文件夹下执行如下代码: npm init name: (mtmap) version: (1. ...

  3. Web标准及网站的可用性、可访问性

    学习前端的过程中到处充斥着Web标准.可用性.可访问性这些词,那么到底它们指的是什么呢? 一.什么是Web标准 简单的说,Web标准就是我们在学习前端中接触最多的HTML.CSS.JavaScript ...

  4. P - 区间与其他数互质数的个数 HDU - 4777

    Rabbit Kingdom Time Limit: 6000/3000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)To ...

  5. Timer(定时器)

    默认情况下,在每个采样器之前没有任何延时,这样不能很好的模拟现实生活中人们访问网页,因为现实生活中人们点击一个请求后,会有一定的时间,然后再点击下一个请求,JMeter提供了定时器来模拟这种行为. 定 ...

  6. 导出当前python安装了哪些第三方模块+批量安装python模块

    pip freeze > mokuai.txt  #导出你当前python环境里面有哪写第三方模块 pip install -r mokuai.txt #从文件里面批量安装模块

  7. 使用C语言封装数组,动态实现增删改查

    myArray.h : #pragma once //包含的时候只包含一次 #include <stdio.h> #include <stdlib.h> #include &l ...

  8. Invalid bound statement (not found): com.taotao.mapper.TbItemMapper.selectByExample: 错误

    在Maven工程下,想通过controller接收url中的参数Id查询数据库的数据,并且以json形式显示在页面. 在浏览器输入url后出现的问题: 八月 22, 2016 1:45:22 下午 o ...

  9. SDUT OJ 数据结构实验之链表六:有序链表的建立

    数据结构实验之链表六:有序链表的建立 Time Limit: 1000 ms Memory Limit: 65536 KiB Submit Statistic Discuss Problem Desc ...

  10. COCO2018 目标检测

    刚浏览了一下coco数据集官网,认真看了一下18年的目标检测任务,简单记录一下. coco2018目标检测挑战赛只进行实例分割的评比,虽然仍然可以输出bbox,但是不可以提交到比赛的服务器,原因是官方 ...