完整工程:http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip

PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。

PEB地址可以通过函数PsGetProcessPeb(EPROCESS)来获得,也可以通过EPROCESS基地址加偏移0x1b0(x86)来获得。

PEB结构

 

  typedef struct _PEB { // Size: 0x1D8

  /**/ UCHAR InheritedAddressSpace;

  /**/ UCHAR ReadImageFileExecOptions;

  /**/ UCHAR BeingDebugged;

  /**/ UCHAR SpareBool;

  /**/ HANDLE Mutant;

  /**/ HINSTANCE ImageBaseAddress; 

  /*00C*/ VOID *DllList;

  /**/ PPROCESS_PARAMETERS *ProcessParameters;    //进程参数块

  /**/ ULONG SubSystemData;

  /**/ HANDLE DefaultHeap;

  /*01C*/ KSPIN_LOCK FastPebLock;

  /**/ ULONG FastPebLockRoutine;

  /**/ ULONG FastPebUnlockRoutine;

  /**/ ULONG EnvironmentUpdateCount;

  /*02C*/ ULONG KernelCallbackTable;

  /**/ LARGE_INTEGER SystemReserved;

  /**/ ULONG FreeList;

  /*03C*/ ULONG TlsExpansionCounter;

  /**/ ULONG TlsBitmap;

  /**/ LARGE_INTEGER TlsBitmapBits;

  /*04C*/ ULONG ReadOnlySharedMemoryBase;

  /**/ ULONG ReadOnlySharedMemoryHeap;

  /**/ ULONG ReadOnlyStaticServerData;

  /**/ ULONG AnsiCodePageData;

  /*05C*/ ULONG OemCodePageData;

  /**/ ULONG UnicodeCaseTableData;

  /**/ ULONG NumberOfProcessors;

  /**/ LARGE_INTEGER NtGlobalFlag; 

  /**/ LARGE_INTEGER CriticalSectionTimeout;

  /**/ ULONG HeapSegmentReserve;

  /*07C*/ ULONG HeapSegmentCommit;

  /**/ ULONG HeapDeCommitTotalFreeThreshold;

  /**/ ULONG HeapDeCommitFreeBlockThreshold;

  /**/ ULONG NumberOfHeaps;

  /*08C*/ ULONG MaximumNumberOfHeaps;

  /**/ ULONG ProcessHeaps;

  /**/ ULONG GdiSharedHandleTable;

  /**/ ULONG ProcessStarterHelper;

  /*09C*/ ULONG GdiDCAttributeList;

  /*0A0*/ KSPIN_LOCK LoaderLock;

  /*0A4*/ ULONG OSMajorVersion;

  /*0A8*/ ULONG OSMinorVersion;

  /*0AC*/ USHORT OSBuildNumber;

  /*0AE*/ USHORT OSCSDVersion;

  /*0B0*/ ULONG OSPlatformId;

  /*0B4*/ ULONG ImageSubsystem;

  /*0B8*/ ULONG ImageSubsystemMajorVersion;

  /*0BC*/ ULONG ImageSubsystemMinorVersion;

  /*0C0*/ ULONG ImageProcessAffinityMask;

  /*0C4*/ ULONG GdiHandleBuffer[0x22];

  /*14C*/ ULONG PostProcessInitRoutine;

  /**/ ULONG TlsExpansionBitmap;

  /**/ UCHAR TlsExpansionBitmapBits[0x80];

  /*1D4*/ ULONG SessionId;

  } PEB, *PPEB;

PEB偏移0x10处还有个指针ProcessParameters,指向一个进程参数块PPB、即RTL_USER_PROCESS_PARAMETERS数据结构。

这PPB也是在用户空间的,虽然是个独立存在的数据结构,逻辑上却可以看作是PEB的一部分。

进程参数块RTL_USER_PROCESS_PARAMETERS结构

typedef struct _RTL_USER_PROCESS_PARAMETERS

{

     ULONG MaximumLength;

     ULONG Length;

     ULONG Flags;

     ULONG DebugFlags;

     PVOID ConsoleHandle;

     ULONG ConsoleFlags;

     PVOID StandardInput;

     PVOID StandardOutput;

     PVOID StandardError;

     CURDIR CurrentDirectory;

     UNICODE_STRING DllPath;

     UNICODE_STRING ImagePathName;     //进程完整路径

     UNICODE_STRING CommandLine;

     PVOID Environment;

     ULONG StartingX;

     ULONG StartingY;

     ULONG CountX;

     ULONG CountY;

     ULONG CountCharsX;

     ULONG CountCharsY;

     ULONG FillAttribute;

     ULONG WindowFlags;

     ULONG ShowWindowFlags;

     UNICODE_STRING WindowTitle;

     UNICODE_STRING DesktopInfo;

     UNICODE_STRING ShellInfo;

     UNICODE_STRING RuntimeData;

     RTL_DRIVE_LETTER_CURDIR CurrentDirectores[];

     ULONG EnvironmentSize;

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

下面以x86为例,在Windbg中可以具体实验感受一下:

1.先随便找个进程

2.注意PEB是在用户空间,从他的地址也可以看出来,因为7ffdf000<80000000,

所以在查看PEB时要先使用命令 .process 899ac958 切入我们我们所找的SogouExe.exe进程的地址空间中,这个很重要

然后我们查看进程SogouExe.exe的PEB

3.在偏移0x10处看到了结构体RTL_USER_PROCESS_PARAMETERS,从图中可以看出,它位于地址0x20000处

继续查看它

4,在偏移0x38处就存放着进程完整路径。OK,成功找到,这样就可以进入具体的代码实现了

 BOOLEAN GetProcessPathByEProcess(PEPROCESS EProcess,WCHAR* wzProcessPath)

 {

     PPEB  Peb = NULL;

     KAPC_STATE ApcState;

     ULONG_PTR  ProcessParameters = NULL;

     if (EProcess==NULL||!MmIsAddressValid(EProcess))

     {

         return FALSE;

     }

     Peb = PsGetProcessPeb(EProcess);

     if (Peb==NULL)

     {

         return FALSE;

     }

     KeStackAttachProcess(EProcess, &ApcState);   //切入进程地址空间,很重要

     ProcessParameters = *(ULONG_PTR*)((ULONG_PTR)Peb+ProcessParametersOfPeb);

     memcpy(wzProcessPath,((PUNICODE_STRING)((ULONG_PTR)ProcessParameters+ImagePathNameOfProcessParameters))->Buffer,

         ((PUNICODE_STRING)((ULONG_PTR)ProcessParameters+ImagePathNameOfProcessParameters))->Length);

     KeUnstackDetachProcess(&ApcState);      //切出进程,很重要

     return TRUE;

 }

<原创> 通过PEB获得进程路径 (附完整工程)的更多相关文章

  1. CMD魔法堂:获取进程路径和PID值的方法集

    一.前言    在开发发布更更新工具——更新Weblogic应用模块时,了解到更新Weblogic应用需要先关闭Weblogic应用窗口然后是清缓存.更新应用文件,最后再重启Weblogic应用窗口. ...

  2. Jbpm4.4+hibernate3.5.4+spring3.0.4+struts2.1.8整合例子(附完整的请假流程例子,jbpm基础,常见问题解决)

    Jbpm4.4+hibernate3.5.4+spring3.0.4+struts2.1.8 整合例子(附完整的请假流程例子). 1.jbpm4.4 测试环境搭建 2.Jbpm4.4+hibernat ...

  3. Delphi 获取进程路径及命令行参数

    Delphi 获取进程路径及命令行参数, 但有的进程获取时会报错,不知为啥 type PVOID64 = UINT64; _UNICODE_STRING = packed record Length ...

  4. MongoDB实战开发 【零基础学习,附完整Asp.net示例】

    MongoDB实战开发 [零基础学习,附完整Asp.net示例] 阅读目录 开始 下载MongoDB,并启动它 在C#使用MongoDB 重构(简化)代码 使用MongoDB的客户端查看数据 使用Mo ...

  5. 图片文档倾斜矫正算法 附完整c代码

    2年前在学习图像算法的时候看到一个文档倾斜矫正的算法. 也就是说能将一些文档图像进行旋转矫正, 当然这个算法一般用于一些文档扫描软件做后处理 或者用于ocr 文字识别做前处理. 相关的关键词: 抗倾斜 ...

  6. WebRTC 音频采样算法 附完整C++示例代码

    之前有大概介绍了音频采样相关的思路,详情见<简洁明了的插值音频重采样算法例子 (附完整C代码)>. 音频方面的开源项目很多很多. 最知名的莫过于谷歌开源的WebRTC, 其中的音频模块就包 ...

  7. 音频降噪算法 附完整C代码

    降噪是音频图像算法中的必不可少的. 目的肯定是让图片或语音 更加自然平滑,简而言之,美化. 图像算法和音频算法 都有其共通点. 图像是偏向 空间 处理,例如图片中的某个区域. 图像很多时候是以二维数据 ...

  8. 音频自动增益 与 静音检测 算法 附完整C代码

    前面分享过一个算法<音频增益响度分析 ReplayGain 附完整C代码示例> 主要用于评估一定长度音频的音量强度, 而分析之后,很多类似的需求,肯定是做音频增益,提高音量诸如此类做法. ...

  9. 音频自动增益 与 静音检测 算法 附完整C代码【转】

    转自:https://www.cnblogs.com/cpuimage/p/8908551.html 前面分享过一个算法<音频增益响度分析 ReplayGain 附完整C代码示例> 主要用 ...

随机推荐

  1. 在IDEA中编辑struts国际化properties文件

    在IDEA中编辑struts国际化properties文件 如果手工创建的web工程,struts的i18n属性文件,可以使用native2ascii工具转换(记得命令行的第二个文件名是要保存的文件名 ...

  2. (笔记)快速入门PADS logic 到 layout

    以前从未接触过画板,先是硬着头皮边学边操作<Layout2007中文教程之PADS_Logic>,刚好在中秋节前把这个教程从头到尾通学了一遍,随后感觉这个教程有了方方面面但没有工程的系统性 ...

  3. C# 对接腾讯企业邮接口----get/post请求

    在无所知之的情况下.来了一个对接接口的任务,没办法,只能根据前端时候的经验硬着头皮上了,随后又整理了一下写的方法,主要包括了部门的创建.更新.删除.查找.然后他们的前提是token的获取 首先HTTP ...

  4. CMSG_COMPAT_ALIGN函数

    CMSG_COMPAT_ALIGN函数是什么的使用方法?

  5. Layer:如何调用layer.open打开的的iframe窗口中的JS?

    layer.open({type: 2,content: 'test/iframe.html',success: function(layero, index){ var body = layer.g ...

  6. Monitorix系统和网络监控工具

    Monitorix 系统和网络监控公工具一.monitorixMonitorix是一款功能非常强大的免费开源轻型工具,目的在于监测Linux中的系统和网络资源.它可以定期收集系统和网络数据,并使用自己 ...

  7. JavaScript_6_函数

    函数是由事件驱动的或者当它被调用执行的可重复使用的代码块 调用带参数的函数 带有返回值的函数 <!DOCTYPE html> <html> <head> <t ...

  8. codevs 4093 EZ的间谍网络

    时间限制: 10 s  空间限制: 128000 KB  题目等级 : 黄金 Gold 题目描述 Description 由于外国间谍的大量渗入,学校安全正处于高度的危机之中.YJY决定挺身而作出反抗 ...

  9. for...in、for...of、forEach()有什么区别

    本文原链接:https://cloud.tencent.com/developer/article/1360074 for of 和 for in 循环 循环遍历数组的时候,你还在用 for 语句走天 ...

  10. Rop实战之利用VirtualProtect绕过DEP

    CVE-2011-0065 Firefox mChannel UAF漏洞 为了实现任意代码执行,需要在mChannel对象释放后,用可控数据“占坑”填充它,因此,可在onChannelRedirect ...