PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。

在应用层下,如果想要得到PEB的基地址只需要取fs:[0x30]即可,TEB线程环境块则是fs:[0x18],如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。

在内核层要获取应用层进程的PEB结构,可以通过以下步骤实现:

  • 1.调用内核函数PsGetCurrentProcess获取当前进程的EPROCESS结构。
  • 2.调用内核函数KeStackAttachProcess,附加到目标进程。
  • 3.调用内核函数PsGetProcessWow64Process,获取目标进程的PEB结构信息。
  • 4.通过PEB结构的Ldr成员可以访问到该进程加载的所有模块,遍历整个Ldr链表即可得到需要的模块信息。
  • 5.遍历完成后,通过调用KeUnstackDetachProcess函数脱离进程空间。

首先在开始写代码之前需要先定义好PEB进程环境快结构体,用于对内存指针解析,新建peb.h文件并保存如下代码,这些是微软的结构定义分为32位与64位,官方定义规范而已不需要费工夫。

#pragma once

#include <ntifs.h>

typedef struct _CURDIR              // 2 elements, 0x18 bytes (sizeof)

{

    /*0x000*/     struct _UNICODE_STRING DosPath; // 3 elements, 0x10 bytes (sizeof)

    /*0x010*/     VOID*        Handle;

}CURDIR, *PCURDIR;

typedef struct _RTL_DRIVE_LETTER_CURDIR // 4 elements, 0x18 bytes (sizeof)

{

    /*0x000*/     UINT16       Flags;

    /*0x002*/     UINT16       Length;

    /*0x004*/     ULONG32      TimeStamp;

    /*0x008*/     struct _STRING DosPath;             // 3 elements, 0x10 bytes (sizeof)

}RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;

typedef enum _SYSTEM_DLL_TYPE  // 7 elements, 0x4 bytes

{

    PsNativeSystemDll = 0 /*0x0*/,

    PsWowX86SystemDll = 1 /*0x1*/,

    PsWowArm32SystemDll = 2 /*0x2*/,

    PsWowAmd64SystemDll = 3 /*0x3*/,

    PsWowChpeX86SystemDll = 4 /*0x4*/,

    PsVsmEnclaveRuntimeDll = 5 /*0x5*/,

    PsSystemDllTotalTypes = 6 /*0x6*/

}SYSTEM_DLL_TYPE, *PSYSTEM_DLL_TYPE;

typedef struct _EWOW64PROCESS        // 3 elements, 0x10 bytes (sizeof)

{

    /*0x000*/     VOID*        Peb;

    /*0x008*/     UINT16       Machine;

    /*0x00A*/     UINT8        _PADDING0_[0x2];

    /*0x00C*/     enum _SYSTEM_DLL_TYPE NtdllType;

}EWOW64PROCESS, *PEWOW64PROCESS;

typedef struct _RTL_USER_PROCESS_PARAMETERS                // 37 elements, 0x440 bytes (sizeof)

{

    /*0x000*/     ULONG32      MaximumLength;

    /*0x004*/     ULONG32      Length;

    /*0x008*/     ULONG32      Flags;

    /*0x00C*/     ULONG32      DebugFlags;

    /*0x010*/     VOID*        ConsoleHandle;

    /*0x018*/     ULONG32      ConsoleFlags;

    /*0x01C*/     UINT8        _PADDING0_[0x4];

    /*0x020*/     VOID*        StandardInput;

    /*0x028*/     VOID*        StandardOutput;

    /*0x030*/     VOID*        StandardError;

    /*0x038*/     struct _CURDIR CurrentDirectory;                       // 2 elements, 0x18 bytes (sizeof)

    /*0x050*/     struct _UNICODE_STRING DllPath;                        // 3 elements, 0x10 bytes (sizeof)

    /*0x060*/     struct _UNICODE_STRING ImagePathName;                  // 3 elements, 0x10 bytes (sizeof)

    /*0x070*/     struct _UNICODE_STRING CommandLine;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x080*/     VOID*        Environment;

    /*0x088*/     ULONG32      StartingX;

    /*0x08C*/     ULONG32      StartingY;

    /*0x090*/     ULONG32      CountX;

    /*0x094*/     ULONG32      CountY;

    /*0x098*/     ULONG32      CountCharsX;

    /*0x09C*/     ULONG32      CountCharsY;

    /*0x0A0*/     ULONG32      FillAttribute;

    /*0x0A4*/     ULONG32      WindowFlags;

    /*0x0A8*/     ULONG32      ShowWindowFlags;

    /*0x0AC*/     UINT8        _PADDING1_[0x4];

    /*0x0B0*/     struct _UNICODE_STRING WindowTitle;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0C0*/     struct _UNICODE_STRING DesktopInfo;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0D0*/     struct _UNICODE_STRING ShellInfo;                      // 3 elements, 0x10 bytes (sizeof)

    /*0x0E0*/     struct _UNICODE_STRING RuntimeData;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0F0*/     struct _RTL_DRIVE_LETTER_CURDIR CurrentDirectores[32];

    /*0x3F0*/     UINT64       EnvironmentSize;

    /*0x3F8*/     UINT64       EnvironmentVersion;

    /*0x400*/     VOID*        PackageDependencyData;

    /*0x408*/     ULONG32      ProcessGroupId;

    /*0x40C*/     ULONG32      LoaderThreads;

    /*0x410*/     struct _UNICODE_STRING RedirectionDllName;             // 3 elements, 0x10 bytes (sizeof)

    /*0x420*/     struct _UNICODE_STRING HeapPartitionName;              // 3 elements, 0x10 bytes (sizeof)

    /*0x430*/     UINT64*      DefaultThreadpoolCpuSetMasks;

    /*0x438*/     ULONG32      DefaultThreadpoolCpuSetMaskCount;

    /*0x43C*/     UINT8        _PADDING2_[0x4];

}RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_LDR_DATA                            // 9 elements, 0x58 bytes (sizeof)

{

    /*0x000*/     ULONG32      Length;

    /*0x004*/     UINT8        Initialized;

    /*0x005*/     UINT8        _PADDING0_[0x3];

    /*0x008*/     VOID*        SsHandle;

    /*0x010*/     struct _LIST_ENTRY InLoadOrderModuleList;           // 2 elements, 0x10 bytes (sizeof)

    /*0x020*/     struct _LIST_ENTRY InMemoryOrderModuleList;         // 2 elements, 0x10 bytes (sizeof)

    /*0x030*/     struct _LIST_ENTRY InInitializationOrderModuleList; // 2 elements, 0x10 bytes (sizeof)

    /*0x040*/     VOID*        EntryInProgress;

    /*0x048*/     UINT8        ShutdownInProgress;

    /*0x049*/     UINT8        _PADDING1_[0x7];

    /*0x050*/     VOID*        ShutdownThreadId;

}PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _PEB64

{

    UCHAR InheritedAddressSpace;

    UCHAR ReadImageFileExecOptions;

    UCHAR BeingDebugged;

    UCHAR BitField;

    ULONG64 Mutant;

    ULONG64 ImageBaseAddress;

    PPEB_LDR_DATA Ldr;

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

    ULONG64 SubSystemData;

    ULONG64 ProcessHeap;

    ULONG64 FastPebLock;

    ULONG64 AtlThunkSListPtr;

    ULONG64 IFEOKey;

    ULONG64 CrossProcessFlags;

    ULONG64 UserSharedInfoPtr;

    ULONG SystemReserved;

    ULONG AtlThunkSListPtr32;

    ULONG64 ApiSetMap;

} PEB64, *PPEB64;

#pragma pack(4)

typedef struct _PEB32

{

    UCHAR InheritedAddressSpace;

    UCHAR ReadImageFileExecOptions;

    UCHAR BeingDebugged;

    UCHAR BitField;

    ULONG Mutant;

    ULONG ImageBaseAddress;

    ULONG Ldr;

    ULONG ProcessParameters;

    ULONG SubSystemData;

    ULONG ProcessHeap;

    ULONG FastPebLock;

    ULONG AtlThunkSListPtr;

    ULONG IFEOKey;

    ULONG CrossProcessFlags;

    ULONG UserSharedInfoPtr;

    ULONG SystemReserved;

    ULONG AtlThunkSListPtr32;

    ULONG ApiSetMap;

} PEB32, *PPEB32;

typedef struct _PEB_LDR_DATA32

{

    ULONG Length;

    BOOLEAN Initialized;

    ULONG SsHandle;

    LIST_ENTRY32 InLoadOrderModuleList;

    LIST_ENTRY32 InMemoryOrderModuleList;

    LIST_ENTRY32 InInitializationOrderModuleList;

    ULONG EntryInProgress;

} PEB_LDR_DATA32, *PPEB_LDR_DATA32;

typedef struct _LDR_DATA_TABLE_ENTRY32

{

    LIST_ENTRY32 InLoadOrderLinks;

    LIST_ENTRY32 InMemoryOrderModuleList;

    LIST_ENTRY32 InInitializationOrderModuleList;

    ULONG DllBase;

    ULONG EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING32 FullDllName;

    UNICODE_STRING32 BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY32 HashLinks;

        ULONG SectionPointer;

    }u1;

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        ULONG LoadedImports;

    }u2;

    ULONG EntryPointActivationContext;

    ULONG PatchInformation;

} LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;

#pragma pack()

接着就来实现对PEB的获取操作,以64位为例,我们需要调用PsGetProcessPeb()这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的EProcess结构,该结构可用PsLookupProcessByProcessId函数动态获取到,获取到以后直接KeStackAttachProcess()附加到应用层进程上,即可直接输出进程的PEB结构信息,如下代码。

#include "peb.h"

#include <ntifs.h>

// 定义导出

NTKERNELAPI PVOID NTAPI PsGetProcessPeb(_In_ PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

// LyShark

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    NTSTATUS status = STATUS_UNSUCCESSFUL;

    PEPROCESS eproc = NULL;

    KAPC_STATE kpc = { 0 };

    PPEB64 pPeb64 = NULL;

    __try

    {

        // HANDLE)4656 进程PID

        status = PsLookupProcessByProcessId((HANDLE)4656, &eproc);

        // 得到64位PEB

        pPeb64 = (PPEB64)PsGetProcessPeb(eproc);

        DbgPrint("PEB64 = %p \n", pPeb64);

        if (pPeb64 != 0)

        {

            // 验证可读性

            ProbeForRead(pPeb64, sizeof(PEB32), 1);

            // 附加进程

            KeStackAttachProcess(eproc, &kpc);

            DbgPrint("进程基地址: 0x%p \n", pPeb64->ImageBaseAddress);

            DbgPrint("ProcessHeap = 0x%p \n", pPeb64->ProcessHeap);

            DbgPrint("BeingDebugged = %d \n", pPeb64->BeingDebugged);

            // 脱离进程

            KeUnstackDetachProcess(&kpc);

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Driver->DriverUnload = UnDriver;

        return STATUS_SUCCESS;

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

PEB64代码运行后,我们加载驱动即可看到如下结果:

而相对于64位进程来说,获取32位进程的PEB信息可以直接调用PsGetProcessWow64Process()函数得到,该函数已被导出可以任意使用,获取PEB代码如下。

#include "peb.h"

#include <ntifs.h>

// 定义导出

NTKERNELAPI PVOID NTAPI PsGetProcessPeb(_In_ PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

// LyShark

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    NTSTATUS status = STATUS_UNSUCCESSFUL;

    PEPROCESS eproc = NULL;

    KAPC_STATE kpc = { 0 };

    PPEB32 pPeb32 = NULL;

    __try

    {

        // HANDLE)4656 进程PID

        status = PsLookupProcessByProcessId((HANDLE)6164, &eproc);

        // 得到32位PEB

        pPeb32 = (PPEB32)PsGetProcessWow64Process(eproc);

        DbgPrint("PEB32 = %p \n", pPeb32);

        if (pPeb32 != 0)

        {

            // 验证可读性

            ProbeForRead(pPeb32, sizeof(PEB32), 1);

            // 附加进程

            KeStackAttachProcess(eproc, &kpc);

            DbgPrint("进程基地址: 0x%p \n", pPeb32->ImageBaseAddress);

            DbgPrint("ProcessHeap = 0x%p \n", pPeb32->ProcessHeap);

            DbgPrint("BeingDebugged = %d \n", pPeb32->BeingDebugged);

            // 脱离进程

            KeUnstackDetachProcess(&kpc);

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Driver->DriverUnload = UnDriver;

        return STATUS_SUCCESS;

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

PEB32代码运行后,我们加载驱动即可看到如下结果:

5.4 Windows驱动开发:内核通过PEB取进程参数的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  3. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  4. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  5. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. Go--Println、Printf区别

    Println:打印字符串.变量:    同函数输出多项,之间存在空格    不同函数输出自动换行 Printf:打印需要格式化的字符串,可以输出字符串类型的变量:不可以输出整型变量和整型   同函数 ...

  2. 别再问我 2050 可以干什么,Make a Movie in a Day!

    2050 的每个年青人都是新物种.越是不可能见面的人见了面,就越会有奇迹发生,2050 努力让年青人见上另一位年青人,激发新的创造力.一起来 2050 看看? 2050 是什么? 2050 大会是由阿 ...

  3. Python | 使用SVM支持向量机进行鸢尾花分类

    运行环境 Python: 3.7.1 库: sklearn (Python的机器学习工具箱) 目的: 根据鸢尾花的四个特征,对三种鸢尾花进行分类 数据(共150行,这里截取前6行,完整数据以及代码的下 ...

  4. 【POJ 2279】Mr. Young’s Picture Permutations【线性DP】

    题目: 有N个学生合影,站成左端对齐的k排,每排有 \(N-1,N_2,-N_k\)个人,第一排在最后面.学生的身高互不相同,分别为\(1-N\),并且合影时要求每一排从左往右身高递减,每一列从后往前 ...

  5. Java内部类详解--成员内部类,局部内部类,匿名内部类,静态内部类

    一.内部类基础 在Java中,可以将一个类定义在另一个类里面或者一个方法里面,这样的类称为内部类.广泛意义上的内部类一般来说包括这四种:成员内部类.局部内部类.匿名内部类和静态内部类.下面就先来了解一 ...

  6. php开发中常见的漏洞点(一) 基础sql注入

    前言 本系列为小迪2022的学习笔记,仅用于自我记录. 正文 在一般情况下,一个网站的首页大致如下 在上方存在着各种各样的导航标签.链接.而一般情况下网站的导航会用参数进行索引的编写,比如id.pag ...

  7. BTC-实现

    BTC-实现 Transaction-based ledger(比特币是基于交易的账本模式) Account-based ledger(以太坊是基于账户的账本模式) UTXO Unspent Tran ...

  8. wireshark 显示过滤表达式

    转载请注明出处: 1.根据协议过滤: 在显示过滤表达式的输入框中直接输入对应的协议类型即可:http   tcp  udp 2.根据 IP 过滤: 根据源IP地址过滤:如源地址IP为:127.0.0. ...

  9. 你不知道的JavaScript APIs

    前言 在本文中,将介绍一些鲜为人知但却非常有用的API,如: Page Visibility API Web Share API Broadcast Channel API International ...

  10. [转帖]网站开启 IPv6 的三种方式

    https://zhuanlan.zhihu.com/p/443835798 从传统二进制部署的 Nginx ,到云原生部署的 K8S.Istio,分别介绍网站开启 IPv6 的三种方式. 1.Ngi ...