PEB :进程环境块
TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址
TEB结构体位于FS段选择符所指的段内存的起始地址处,
且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置
即有两种方法获得PEB的地址

peb的结构申明:

typedef struct _UNICODE_STR

{

    USHORT Length;

    USHORT MaximumLength;

    PWSTR pBuffer;

} UNICODE_STR, *PUNICODE_STR;

typedef struct _LDR_DATA_TABLE_ENTRY

{

    //LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STR FullDllName;

    UNICODE_STR BaseDllName;

    ULONG Flags;

    SHORT LoadCount;

    SHORT TlsIndex;

    LIST_ENTRY HashTableEntry;

    ULONG TimeDateStamp;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA //, 7 elements, 0x28 bytes

{

    DWORD dwLength;

    DWORD dwInitialized;

    LPVOID lpSsHandle;

    LIST_ENTRY InLoadOrderModuleList;

    LIST_ENTRY InMemoryOrderModuleList;

    LIST_ENTRY InInitializationOrderModuleList;

    LPVOID lpEntryInProgress;

} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _PEB_FREE_BLOCK // 2 elements, 0x8 bytes

{

    struct _PEB_FREE_BLOCK * pNext;

    DWORD dwSize;

} PEB_FREE_BLOCK, *PPEB_FREE_BLOCK;

typedef struct __PEB // 65 elements, 0x210 bytes

{

    BYTE bInheritedAddressSpace;

    BYTE bReadImageFileExecOptions;

    BYTE bBeingDebugged;

    BYTE bSpareBool;

    LPVOID lpMutant;

    LPVOID lpImageBaseAddress;

    PPEB_LDR_DATA pLdr;

    LPVOID lpProcessParameters;

    LPVOID lpSubSystemData;

    LPVOID lpProcessHeap;

    PRTL_CRITICAL_SECTION pFastPebLock;

    LPVOID lpFastPebLockRoutine;

    LPVOID lpFastPebUnlockRoutine;

    DWORD dwEnvironmentUpdateCount;

    LPVOID lpKernelCallbackTable;

    DWORD dwSystemReserved;

    DWORD dwAtlThunkSListPtr32;

    PPEB_FREE_BLOCK pFreeList;

    DWORD dwTlsExpansionCounter;

    LPVOID lpTlsBitmap;

    DWORD dwTlsBitmapBits[];

    LPVOID lpReadOnlySharedMemoryBase;

    LPVOID lpReadOnlySharedMemoryHeap;

    LPVOID lpReadOnlyStaticServerData;

    LPVOID lpAnsiCodePageData;

    LPVOID lpOemCodePageData;

    LPVOID lpUnicodeCaseTableData;

    DWORD dwNumberOfProcessors;

    DWORD dwNtGlobalFlag;

    LARGE_INTEGER liCriticalSectionTimeout;

    DWORD dwHeapSegmentReserve;

    DWORD dwHeapSegmentCommit;

    DWORD dwHeapDeCommitTotalFreeThreshold;

    DWORD dwHeapDeCommitFreeBlockThreshold;

    DWORD dwNumberOfHeaps;

    DWORD dwMaximumNumberOfHeaps;

    LPVOID lpProcessHeaps;

    LPVOID lpGdiSharedHandleTable;

    LPVOID lpProcessStarterHelper;

    DWORD dwGdiDCAttributeList;

    LPVOID lpLoaderLock;

    DWORD dwOSMajorVersion;

    DWORD dwOSMinorVersion;

    WORD wOSBuildNumber;

    WORD wOSCSDVersion;

    DWORD dwOSPlatformId;

    DWORD dwImageSubsystem;

    DWORD dwImageSubsystemMajorVersion;

    DWORD dwImageSubsystemMinorVersion;

    DWORD dwImageProcessAffinityMask;

    DWORD dwGdiHandleBuffer[];

    LPVOID lpPostProcessInitRoutine;

    LPVOID lpTlsExpansionBitmap;

    DWORD dwTlsExpansionBitmapBits[];

    DWORD dwSessionId;

    ULARGE_INTEGER liAppCompatFlags;

    ULARGE_INTEGER liAppCompatFlagsUser;

    LPVOID lppShimData;

    LPVOID lpAppCompatInfo;

    UNICODE_STR usCSDVersion;

    LPVOID lpActivationContextData;

    LPVOID lpProcessAssemblyStorageMap;

    LPVOID lpSystemDefaultActivationContextData;

    LPVOID lpSystemAssemblyStorageMap;

    DWORD dwMinimumStackCommit;

} _PEB, *_PPEB;

获得PEB:

#include "Test.h"

#include <winioctl.h>

int main()

{

    _PPEB PebBaseAddress = (_PPEB)__readfsdword(0x30);   //FS[0x60]  即x86进程PEB

    int a = GetLastError();

    printf_s("PebBaseAddress:0x%x\r\n", PebBaseAddress);

    PPEB_LDR_DATA pPebLdr = PebBaseAddress->pLdr;

    PLDR_DATA_TABLE_ENTRY pLdrDataHeader = (PLDR_DATA_TABLE_ENTRY)pPebLdr->InMemoryOrderModuleList.Flink;

    PLDR_DATA_TABLE_ENTRY pLdrDataTail = (PLDR_DATA_TABLE_ENTRY)pPebLdr->InMemoryOrderModuleList.Flink;

    printf_s("加载的模块:\r\n");

    do

    {

        WCHAR* DllName = pLdrDataHeader->BaseDllName.pBuffer;

        //USHORT usCounter = pLdrDataHeader->BaseDllName.Length;

        pLdrDataHeader = (PLDR_DATA_TABLE_ENTRY)pLdrDataHeader->InMemoryOrderModuleList.Flink;

        printf_s("%S\r\n", DllName);

    }

    while (pLdrDataHeader != pLdrDataTail);

    return ;

}

进程peb结构、获得peb的方法的更多相关文章

  1. 用户层获取TEB PEB结构地址 遍历进程模块.doc

    1.fs寄存器指向TEB结构 2.在TEB+0x30地方指向PEB结构 3.在PEB+0x0C地方指向PEB_LDR_DATA结构 4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了 ...

  2. 获取其他进程的命令行(ReadProcessMemory其它进程的PPROCESS_PARAMETERS和PEB结构体)

    type   UNICODE_STRING = packed record     Length: Word;     MaximumLength: Word;     Buffer: PWideCh ...

  3. 进程管理02 通过PEB枚举进程所有模块

    0x01  结构探究 先在win7 x86下通过windbg来探究通过peb来得到进程模块的步骤: 命令!process 0 0 exeplorer.exe 先获取到explorer.exe的EPRO ...

  4. 逆向知识第一讲,IDA的熟悉使用,以及TEB,PEB结构

    逆向知识第一讲,IDA的熟悉使用,以及TEB,PEB结构 一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打 ...

  5. 8.2.6 PEB —— PEB结构值不正确的问题

    书中作者使用 dt _PEB xxxxxx 命令来查看当前进程的PEB结构. 实际操作后PEB结构显示的成员值: 作为进程链表的LDR结构居然没有值,这显然是不正常的,地址也没有输错,问题到底出在哪里 ...

  6. 将dll文件注入到其他进程中的一种新方法

    http://www.45it.com/windowszh/201212/33946.htm http://www.hx95.cn/Article/OS/201212/65095.html 我们知道将 ...

  7. Linux下java进程CPU占用率高分析方法

    Linux下java进程CPU占用率高分析方法 在工作当中,肯定会遇到由代码所导致的高CPU耗用以及内存溢出的情况.这种情况发生时,我们怎么去找出原因并解决. 一般解决方法是通过top命令找出消耗资源 ...

  8. 一起学Hive——总结复制Hive表结构和数据的方法

    在使用Hive的过程中,复制表结构和数据是很常用的操作,本文介绍两种复制表结构和数据的方法. 1.复制非分区表表结构和数据 Hive集群中原本有一张bigdata17_old表,通过下面的SQL语句可 ...

  9. go语言进阶之为结构体类型添加方法

    1.为结构体类型添加方法 示例: package main import "fmt" type Person struct { name string //名字 sex byte ...

随机推荐

  1. 新编html网页设计从入门到精通 (龙马工作室) pdf扫描版

    新编html网页设计从入门到精通共分为21章,全面系统地讲解了html的发展历史及4.0版的新特性.基本概念.设计原则.文件结构.文件属性标记.用格式标记进行页面排版.使用图像装饰页面.超链接的使用. ...

  2. sqlserver2012——存储过程

    存储过程:是一组为了完成特定功能的SQL语句,经编译后存储在数据库中. 他们可以接受参数.输出参数.返回单个或者多个结果集以及返回值 存储过程种类 1.用户自定义存储过程 2.系统存储过程 3.扩展存 ...

  3. 第一章 –– Java基础语法

    第一章 –– Java基础语法 span::selection, .CodeMirror-line > span > span::selection { background: #d7d4 ...

  4. JAVA中的工厂方法模式和抽象工厂模式

    工厂方法模式: 定义:定义一个用于创建对象的接口,让子类决定实例化哪一个类,工厂方法使一个类的实例化延迟到其子类.类型:创建类模式类图: 类图知识点:1.类图分为三部分,依次是类名.属性.方法2.以& ...

  5. 「CF744C」Hongcow Buys a Deck of Cards「状压 DP」

    题意 你有\(n\)个物品,物品和硬币有\(A\),\(B\)两种类型,假设你有\(M\)个\(A\)物品和\(N\)个\(B\)物品 每一轮你可以选择获得\(A, B\)硬币各\(1\)个,或者(硬 ...

  6. 【Python之os模块】使用

    目录 1. os.path 2. os.work   主要介绍在平时遇到的os模块的使用方法: 1. os.path 1.1 os.path.sep # 系统路径分隔符 # ============= ...

  7. Unity 着色器训练营(2) - MVP转换和法线贴图

    https://mp.weixin.qq.com/s/Qf4qT15s9bWjbVGh7H32lw 我们刚刚公布了Unity 2018.1中,Unity将会内置可视化编程工具Shader Graph, ...

  8. UML——初识

    初识 刚刚接触到UML的时候,先看的书,对整本书的内容做了宏观的把控.感觉UML这个东西和自己想象中的不一样.起初我认为它只是一个工具,将软件开发过程中不同的阶段用不用种类的图表现出来,后来才发现它是 ...

  9. Ubuntu16.04双网卡绑定

    服务器经常有多个网卡,为了保证网络冗余性,一个网卡出现故障时,不导致网络服务中断,可以懂多网卡网卡绑定来解决此问题. 环境: 系统:Ubuntu16.04 网卡:em1 em2 ip:192.168. ...

  10. 【SQL Server 优化性能的几个方面】(转)

    转自:http://blog.csdn.net/feixianxxx/article/details/5524819     SQL Server 优化性能的几个方面 (一).数据库的设计 可以参看最 ...