PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。

在应用层下,如果想要得到PEB的基地址只需要取fs:[0x30]即可,TEB线程环境块则是fs:[0x18],如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。

在内核层要获取应用层进程的PEB结构,可以通过以下步骤实现:

  • 1.调用内核函数PsGetCurrentProcess获取当前进程的EPROCESS结构。
  • 2.调用内核函数KeStackAttachProcess,附加到目标进程。
  • 3.调用内核函数PsGetProcessWow64Process,获取目标进程的PEB结构信息。
  • 4.通过PEB结构的Ldr成员可以访问到该进程加载的所有模块,遍历整个Ldr链表即可得到需要的模块信息。
  • 5.遍历完成后,通过调用KeUnstackDetachProcess函数脱离进程空间。

首先在开始写代码之前需要先定义好PEB进程环境快结构体,用于对内存指针解析,新建peb.h文件并保存如下代码,这些是微软的结构定义分为32位与64位,官方定义规范而已不需要费工夫。

#pragma once

#include <ntifs.h>

typedef struct _CURDIR              // 2 elements, 0x18 bytes (sizeof)

{

    /*0x000*/     struct _UNICODE_STRING DosPath; // 3 elements, 0x10 bytes (sizeof)

    /*0x010*/     VOID*        Handle;

}CURDIR, *PCURDIR;

typedef struct _RTL_DRIVE_LETTER_CURDIR // 4 elements, 0x18 bytes (sizeof)

{

    /*0x000*/     UINT16       Flags;

    /*0x002*/     UINT16       Length;

    /*0x004*/     ULONG32      TimeStamp;

    /*0x008*/     struct _STRING DosPath;             // 3 elements, 0x10 bytes (sizeof)

}RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;

typedef enum _SYSTEM_DLL_TYPE  // 7 elements, 0x4 bytes

{

    PsNativeSystemDll = 0 /*0x0*/,

    PsWowX86SystemDll = 1 /*0x1*/,

    PsWowArm32SystemDll = 2 /*0x2*/,

    PsWowAmd64SystemDll = 3 /*0x3*/,

    PsWowChpeX86SystemDll = 4 /*0x4*/,

    PsVsmEnclaveRuntimeDll = 5 /*0x5*/,

    PsSystemDllTotalTypes = 6 /*0x6*/

}SYSTEM_DLL_TYPE, *PSYSTEM_DLL_TYPE;

typedef struct _EWOW64PROCESS        // 3 elements, 0x10 bytes (sizeof)

{

    /*0x000*/     VOID*        Peb;

    /*0x008*/     UINT16       Machine;

    /*0x00A*/     UINT8        _PADDING0_[0x2];

    /*0x00C*/     enum _SYSTEM_DLL_TYPE NtdllType;

}EWOW64PROCESS, *PEWOW64PROCESS;

typedef struct _RTL_USER_PROCESS_PARAMETERS                // 37 elements, 0x440 bytes (sizeof)

{

    /*0x000*/     ULONG32      MaximumLength;

    /*0x004*/     ULONG32      Length;

    /*0x008*/     ULONG32      Flags;

    /*0x00C*/     ULONG32      DebugFlags;

    /*0x010*/     VOID*        ConsoleHandle;

    /*0x018*/     ULONG32      ConsoleFlags;

    /*0x01C*/     UINT8        _PADDING0_[0x4];

    /*0x020*/     VOID*        StandardInput;

    /*0x028*/     VOID*        StandardOutput;

    /*0x030*/     VOID*        StandardError;

    /*0x038*/     struct _CURDIR CurrentDirectory;                       // 2 elements, 0x18 bytes (sizeof)

    /*0x050*/     struct _UNICODE_STRING DllPath;                        // 3 elements, 0x10 bytes (sizeof)

    /*0x060*/     struct _UNICODE_STRING ImagePathName;                  // 3 elements, 0x10 bytes (sizeof)

    /*0x070*/     struct _UNICODE_STRING CommandLine;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x080*/     VOID*        Environment;

    /*0x088*/     ULONG32      StartingX;

    /*0x08C*/     ULONG32      StartingY;

    /*0x090*/     ULONG32      CountX;

    /*0x094*/     ULONG32      CountY;

    /*0x098*/     ULONG32      CountCharsX;

    /*0x09C*/     ULONG32      CountCharsY;

    /*0x0A0*/     ULONG32      FillAttribute;

    /*0x0A4*/     ULONG32      WindowFlags;

    /*0x0A8*/     ULONG32      ShowWindowFlags;

    /*0x0AC*/     UINT8        _PADDING1_[0x4];

    /*0x0B0*/     struct _UNICODE_STRING WindowTitle;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0C0*/     struct _UNICODE_STRING DesktopInfo;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0D0*/     struct _UNICODE_STRING ShellInfo;                      // 3 elements, 0x10 bytes (sizeof)

    /*0x0E0*/     struct _UNICODE_STRING RuntimeData;                    // 3 elements, 0x10 bytes (sizeof)

    /*0x0F0*/     struct _RTL_DRIVE_LETTER_CURDIR CurrentDirectores[32];

    /*0x3F0*/     UINT64       EnvironmentSize;

    /*0x3F8*/     UINT64       EnvironmentVersion;

    /*0x400*/     VOID*        PackageDependencyData;

    /*0x408*/     ULONG32      ProcessGroupId;

    /*0x40C*/     ULONG32      LoaderThreads;

    /*0x410*/     struct _UNICODE_STRING RedirectionDllName;             // 3 elements, 0x10 bytes (sizeof)

    /*0x420*/     struct _UNICODE_STRING HeapPartitionName;              // 3 elements, 0x10 bytes (sizeof)

    /*0x430*/     UINT64*      DefaultThreadpoolCpuSetMasks;

    /*0x438*/     ULONG32      DefaultThreadpoolCpuSetMaskCount;

    /*0x43C*/     UINT8        _PADDING2_[0x4];

}RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_LDR_DATA                            // 9 elements, 0x58 bytes (sizeof)

{

    /*0x000*/     ULONG32      Length;

    /*0x004*/     UINT8        Initialized;

    /*0x005*/     UINT8        _PADDING0_[0x3];

    /*0x008*/     VOID*        SsHandle;

    /*0x010*/     struct _LIST_ENTRY InLoadOrderModuleList;           // 2 elements, 0x10 bytes (sizeof)

    /*0x020*/     struct _LIST_ENTRY InMemoryOrderModuleList;         // 2 elements, 0x10 bytes (sizeof)

    /*0x030*/     struct _LIST_ENTRY InInitializationOrderModuleList; // 2 elements, 0x10 bytes (sizeof)

    /*0x040*/     VOID*        EntryInProgress;

    /*0x048*/     UINT8        ShutdownInProgress;

    /*0x049*/     UINT8        _PADDING1_[0x7];

    /*0x050*/     VOID*        ShutdownThreadId;

}PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _PEB64

{

    UCHAR InheritedAddressSpace;

    UCHAR ReadImageFileExecOptions;

    UCHAR BeingDebugged;

    UCHAR BitField;

    ULONG64 Mutant;

    ULONG64 ImageBaseAddress;

    PPEB_LDR_DATA Ldr;

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

    ULONG64 SubSystemData;

    ULONG64 ProcessHeap;

    ULONG64 FastPebLock;

    ULONG64 AtlThunkSListPtr;

    ULONG64 IFEOKey;

    ULONG64 CrossProcessFlags;

    ULONG64 UserSharedInfoPtr;

    ULONG SystemReserved;

    ULONG AtlThunkSListPtr32;

    ULONG64 ApiSetMap;

} PEB64, *PPEB64;

#pragma pack(4)

typedef struct _PEB32

{

    UCHAR InheritedAddressSpace;

    UCHAR ReadImageFileExecOptions;

    UCHAR BeingDebugged;

    UCHAR BitField;

    ULONG Mutant;

    ULONG ImageBaseAddress;

    ULONG Ldr;

    ULONG ProcessParameters;

    ULONG SubSystemData;

    ULONG ProcessHeap;

    ULONG FastPebLock;

    ULONG AtlThunkSListPtr;

    ULONG IFEOKey;

    ULONG CrossProcessFlags;

    ULONG UserSharedInfoPtr;

    ULONG SystemReserved;

    ULONG AtlThunkSListPtr32;

    ULONG ApiSetMap;

} PEB32, *PPEB32;

typedef struct _PEB_LDR_DATA32

{

    ULONG Length;

    BOOLEAN Initialized;

    ULONG SsHandle;

    LIST_ENTRY32 InLoadOrderModuleList;

    LIST_ENTRY32 InMemoryOrderModuleList;

    LIST_ENTRY32 InInitializationOrderModuleList;

    ULONG EntryInProgress;

} PEB_LDR_DATA32, *PPEB_LDR_DATA32;

typedef struct _LDR_DATA_TABLE_ENTRY32

{

    LIST_ENTRY32 InLoadOrderLinks;

    LIST_ENTRY32 InMemoryOrderModuleList;

    LIST_ENTRY32 InInitializationOrderModuleList;

    ULONG DllBase;

    ULONG EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING32 FullDllName;

    UNICODE_STRING32 BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union

    {

        LIST_ENTRY32 HashLinks;

        ULONG SectionPointer;

    }u1;

    ULONG CheckSum;

    union

    {

        ULONG TimeDateStamp;

        ULONG LoadedImports;

    }u2;

    ULONG EntryPointActivationContext;

    ULONG PatchInformation;

} LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;

#pragma pack()

接着就来实现对PEB的获取操作,以64位为例,我们需要调用PsGetProcessPeb()这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的EProcess结构,该结构可用PsLookupProcessByProcessId函数动态获取到,获取到以后直接KeStackAttachProcess()附加到应用层进程上,即可直接输出进程的PEB结构信息,如下代码。

#include "peb.h"

#include <ntifs.h>

// 定义导出

NTKERNELAPI PVOID NTAPI PsGetProcessPeb(_In_ PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

// LyShark

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    NTSTATUS status = STATUS_UNSUCCESSFUL;

    PEPROCESS eproc = NULL;

    KAPC_STATE kpc = { 0 };

    PPEB64 pPeb64 = NULL;

    __try

    {

        // HANDLE)4656 进程PID

        status = PsLookupProcessByProcessId((HANDLE)4656, &eproc);

        // 得到64位PEB

        pPeb64 = (PPEB64)PsGetProcessPeb(eproc);

        DbgPrint("PEB64 = %p \n", pPeb64);

        if (pPeb64 != 0)

        {

            // 验证可读性

            ProbeForRead(pPeb64, sizeof(PEB32), 1);

            // 附加进程

            KeStackAttachProcess(eproc, &kpc);

            DbgPrint("进程基地址: 0x%p \n", pPeb64->ImageBaseAddress);

            DbgPrint("ProcessHeap = 0x%p \n", pPeb64->ProcessHeap);

            DbgPrint("BeingDebugged = %d \n", pPeb64->BeingDebugged);

            // 脱离进程

            KeUnstackDetachProcess(&kpc);

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Driver->DriverUnload = UnDriver;

        return STATUS_SUCCESS;

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

PEB64代码运行后,我们加载驱动即可看到如下结果:

而相对于64位进程来说,获取32位进程的PEB信息可以直接调用PsGetProcessWow64Process()函数得到,该函数已被导出可以任意使用,获取PEB代码如下。

#include "peb.h"

#include <ntifs.h>

// 定义导出

NTKERNELAPI PVOID NTAPI PsGetProcessPeb(_In_ PEPROCESS Process);

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint(("Uninstall Driver Is OK \n"));

}

// LyShark

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    NTSTATUS status = STATUS_UNSUCCESSFUL;

    PEPROCESS eproc = NULL;

    KAPC_STATE kpc = { 0 };

    PPEB32 pPeb32 = NULL;

    __try

    {

        // HANDLE)4656 进程PID

        status = PsLookupProcessByProcessId((HANDLE)6164, &eproc);

        // 得到32位PEB

        pPeb32 = (PPEB32)PsGetProcessWow64Process(eproc);

        DbgPrint("PEB32 = %p \n", pPeb32);

        if (pPeb32 != 0)

        {

            // 验证可读性

            ProbeForRead(pPeb32, sizeof(PEB32), 1);

            // 附加进程

            KeStackAttachProcess(eproc, &kpc);

            DbgPrint("进程基地址: 0x%p \n", pPeb32->ImageBaseAddress);

            DbgPrint("ProcessHeap = 0x%p \n", pPeb32->ProcessHeap);

            DbgPrint("BeingDebugged = %d \n", pPeb32->BeingDebugged);

            // 脱离进程

            KeUnstackDetachProcess(&kpc);

        }

    }

    __except (EXCEPTION_EXECUTE_HANDLER)

    {

        Driver->DriverUnload = UnDriver;

        return STATUS_SUCCESS;

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

PEB32代码运行后,我们加载驱动即可看到如下结果:

5.4 Windows驱动开发:内核通过PEB取进程参数的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  3. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  4. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  5. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. leaflet 绘制 带箭头的线

    箭头不是画的线段,是贴的图标,再按方向旋转一下. 代码: //添加箭头线 function addLineDirection(polylinePointArr, source, target) { v ...

  2. qiankun 微前端实例化使用

    一.qiankun使用场景 1. 简介:qiankun是在single-spa的基础上实现的,可以保证各个项目独立使用,也可以集成使用.各系统之间不受技术栈的限制,集成使用也能保证各样式和全局变量的隔 ...

  3. arthas 使用总结

    本文为博主原创,未经允许不得转载: Arthas 是Alibaba开源的Java诊断工具,深受开发者喜爱.在线排查问题,无需重启:动态跟踪Java代码:实时监控JVM状态. Github: https ...

  4. 14-TTL与非门的输入特性和输出特性

    TTL与非门的电压传输特性 传输特性 输入电压连续发生变化,输出电压发生什么变化?需要研究输出电压与输入电压之间的关系 输入小的时候,输出大的信号:输入大时候输出小信号 中间有截止和导通,需要过渡过程 ...

  5. Laravel路由匹配

    Route常规用法如下,特别是最后一个传参之后可以进行正则匹配,非常好用. //@后面内容为所要访问的方法 Route::get('foo', 'Photos\AdminController@meth ...

  6. 如何使用Oracle Enterprise Manager Database Express连接到PDB数据库

    1.问题 1.1重复弹出登录框,无法登陆 关闭登录框,显示invalid container name 1.2 重启后PDB数据库处于mounted挂载状态,未打开导致使用 Enterprise 登陆 ...

  7. [kubernetes]服务健康检查

    前言 进程在运行,但是不代表应用是正常的,对此pod提供的探针可用来检测容器内的应用是否正常.k8s对pod的健康状态可以通过三类探针来检查:LivenessProbe.ReadinessProbe和 ...

  8. .NET周刊【1月第2期 2024-01-21】

    国内文章 NCC Mocha v0.1.0 发布,.NET 开发的基于 OpenTelemetry 的 APM 系统 https://mp.weixin.qq.com/s/gUx-dqlYqcwgQN ...

  9. K8S_IPV6 POD与数据库联通方法以及快速网络调试的一个思路

    K8S_IPV6 POD与数据库联通方法以及快速网络调试的一个思路 背景 前端时间搭建了一套K8S only IPV6 Single Stack的测试环境 因为自己长时间不搞K8S了, 并且IPV6的 ...

  10. [转帖]在yum安装本地rpm文件时遇到public key不正确问题

    yum错误:public.gpg.key: import read failed(2). 在yum安装本地rpm文件时遇到public key不正确问题 Downloading Packages:   ...