10-10-12分页限制 10-10-12分页因为页表PEB只有四个字节所以只能访问232 = 4GB物理地址空间,现在的物理内存都大于4GB为了能访问到更多的物理内存2-9-9-12将PEB的大小增加到了8个字节,其中36位用来表示物理页基地址,这样就可以访问到236 = 64GB物理地址空间。因 ...
分类:
其他好文 时间:
2021-03-05 13:06:48
阅读次数:
0
int main(){ _asm { //寻找kernel32.dll的基地址 xor ecx, ecx; mov eax, dword ptr fs : [ecx + 30h]; //EAX = PEB mov eax, dword ptr[eax + 0Ch]; //EAX = PEB->Ldr ...
分类:
系统相关 时间:
2020-02-29 14:41:16
阅读次数:
438
PEB.H #pragma once #include #include #include #include #define NT_SUCCESS(x) ((x) >= 0) #define ProcessBasicInformation 0 typedef NTSTATUS(WINAPI *pfn... ...
分类:
系统相关 时间:
2019-11-11 00:44:05
阅读次数:
114
原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子. https://www.cnblogs.com/iBinary/p/9601860.html 检测: ...
分类:
其他好文 时间:
2019-09-30 18:11:48
阅读次数:
85
通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。 摘自 "PEB LDR DATA" : _PEB_LDR_DATA结构体中的 、`InMemoryOrderMod ...
分类:
其他好文 时间:
2019-08-27 22:48:31
阅读次数:
118
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x0 ...
分类:
编程语言 时间:
2019-05-14 23:09:43
阅读次数:
528
原文发表于百度空间,2008-7-25 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h中有定义,但是并未给出具体的结构,因此要得到EPROCESS中一些重要的成员变量,只能通过偏移的方法,比如PID,Ima ...
分类:
系统相关 时间:
2018-12-26 17:00:39
阅读次数:
192
原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了 先从分析PEB开始吧.感觉分析这个东西,首先要把类型定义搞清楚,这个在Windbg里dt _PEB就可以了搞清楚定义主要是为了定位相关变量的偏移.PEB中的ProcessPar ...
分类:
其他好文 时间:
2018-12-26 12:25:43
阅读次数:
148
1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 80a02a60 Cid: 0002 Peb: 00000000 ParentCid: 0000 DirBase: 00006 ...
分类:
数据库 时间:
2018-06-25 01:09:45
阅读次数:
246
一、首先准备好一个程序,运行起来,用windbg进行附加调试,由于每个windows下的程序都会加载kernel32.dll,因此,找基址的过程是一样的; 二、查看PEB地址; 法一、r $peb 法二、通过TEB获取,r $teb 获取到teb地址后,对_TEB结构体解析dt _TEB 3ca00 ...
分类:
数据库 时间:
2018-04-09 18:48:09
阅读次数:
240
