草庐IT

PEB

全部标签

windows - PEB 结构中的 BeingDebugged 标志的用途是什么?

这个标志的目的是什么(从操作系统端)?除isDebuggerPresent外,哪些函数使用此标志?非常感谢 最佳答案 实际上是一样的,但读取PEB不需要通过内核模式。更明确地说,IsDebuggerPresentAPI已记录且稳定;PEB结构不会,而且可以想象,跨版本发生变化。此外,IsDebuggerPresentAPI(或标志)仅检查用户模式调试器;内核调试器不会通过此函数检测到。为什么要放在PEB中?它节省了一些时间,这在NT的早期版本中更为重要。(有很多用户模式函数会在执行某些运行时验证之前检查此标志,如果设置,则会中断调试
BeingDebugged用途sectioncode调试器windowsreverse-engineering

c - 迭代 PEB DllName 仅显示 exe 名称

我正在尝试获取我的应用程序中已加载模块的列表(与安全/shellcode有关,因此请避免调用WINAPI)。我正在遍历PEB->Ldr模块双向链表,但每次打印DLL的名称时,它只是打印当前正在执行的应用程序的名称和路径。在其他人的代码中,我看到他们只是将当前的LIST_ENTRY指针设为PLDR_DATA_TABLE_ENTRY,您可以直接调用FullDllName那样。但是,例如,要实际获取基址,您需要调用Reserved2[0]而不是DllBase,这是可以理解的,因为LIST_ENTRY是结构中的8个字节,但它没有解释为什么可以直接调用FullDllName。Here'sanex
DllNamePEBcodelpCurrentlpFirstcwindowswinapishellcode

windows - 使用适当的 PEB 和 ACL 从服务中创建 ProcessAsUser

我已经阅读了大量有关此事的SO问题,但我没有找到以正确方式执行此操作的真正权威指南。我的目标是枚举[断开连接和事件]用户控制台session并在每个session中启动一个进程。每个用户session进程在其DACL中至少需要这些权限:Tokenaccessrights:TOKEN_QUERY(对于GetTokenInformation())TOKEN_QUERY_SOURCE(对于GetTokenInformation())Processaccessrights:PROCESS_QUERY_INFORMATION(对于OpenProcessToken())PROCESS_QUERY_
ProcessAsUser适当noreferrernoopenernofollowwindowswinapi

windows - 尝试使用 WinDbg : PEB is Paged Out, 分析转储文件不会加载符号

您好,我正在尝试使用WinDbg查看memory.dmp内核转储文件,以诊断崩溃。当我打开崩溃文件并获取符号时,我收到消息BugCheckA,{2,ff,4e,fffff801a42ebff2}CompressedPageDataReaderwarning:failedtoget_SM_PAGE_KEYsymbol.CompressedPageDataReaderwarning:failedtoget_SM_PAGE_KEYsymbol.Probablycausedby:ntkrnlmp.exe(nt!KxWaitForLockOwnerShipWithIrql+12)Followup
windowsWinDbgsectionCompressedPageDataReader4018debuggingcrash

c - PEB地址(0x07FF DA00)是加载进程基地址的RV吗?

我正在尝试使用C/ASM中的PEB结构,但在此之前我想了解一些基础知识。我在某处读到,大多数进程在地址0x07FFDA00处都有它们的PEB。现在这个地址是相对于进程基地址的,即(0x00400000+0x07FFDA00==PEBbaseaddr)?因为所有进程当然不能将它们的PEB指向这个地址。 最佳答案 Becauseallprocessescan'thavetheirPEBtothisaddressofcourse.如果0x07FFDA00和0x00400000都是虚拟地址,那么所有进程都可以在该地址拥有它们的PEB。正如您
基地址PEBcodesectioncwindowsassembly

c++ - 在 Win 7 中从远程进程获取 PEB

规范:Windows7x64,VisualC++目标:我正在尝试获取RemotePEB来自示例程序(例如calc.exe)。我找到了procID,并打开了一个具有所有良好权限的进程句柄。我现在开始编写一个类来使用PROCESS_BASIC_INFORMATION从进程中检索PEB的位置。问题:我在其他地方发现了一些帖子,这些帖子似乎表明NtQueryInformationProcess在MS变成了垃圾。一篇文章提出了一种从ntdll.dll中动态运行时链接NtQueryInformationProcess的方法。但是,我认为如果没有大量的错误处理,从长远来看这将是不稳定的(MS明天可能
amp43noreferrerstrongnoopenerc++visual-c++dllwindows-7dll-injection

驱动开发:内核通过PEB得到进程参数

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下,如果想要得到PEB的基地址只需要取fs:[0x30]即可,TEB线程环境块则是fs:[0x18],如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程的PEB结构。首先在开始写代码之前需要先定义好PEB进程环境快结构体,用于对内存指针解析,新建peb.h文件并保存如下代码,
驱动PEBULONG0xstructC++

驱动开发:内核通过PEB得到进程参数

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下,如果想要得到PEB的基地址只需要取fs:[0x30]即可,TEB线程环境块则是fs:[0x18],如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程的PEB结构。首先在开始写代码之前需要先定义好PEB进程环境快结构体,用于对内存指针解析,新建peb.h文件并保存如下代码,
驱动PEBULONG0xstructC++