kd> !process 0 0 explorer.exePROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb ...
分类:
其他好文 时间:
2018-01-14 18:41:18
阅读次数:
285
IsDebuggerPresent() 该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 在x86下用windbg查看PEB结构 可知在PEB(进程环境块)偏移0x002处获得BeingDebugged PEB(进程 ...
分类:
其他好文 时间:
2017-09-29 01:49:28
阅读次数:
302
堆保护机制的原理 PEB random:在Windows XP SP2之后,将PEB基地址前两个字节随机化。 Safe Unlink:在SP2 之前的链表拆卸操作类似于如下代码: SP2在进行删除操作时,将提前验证堆块前向指针和后向指针的完整性。 ) heap cookie:cookie在堆首部分原 ...
分类:
其他好文 时间:
2017-08-09 16:48:34
阅读次数:
318
首先介绍PEB和TEB概念: PEB(Process Environment Block。进程环境块)存放进程信息。每一个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block。线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间 ...
ProcessBasicInformation =0Retrieves a pointer to a PEB structure that can be used to determine whether the specified process is being debugged, and a ...
分类:
其他好文 时间:
2017-05-05 12:49:27
阅读次数:
105
- FS寄存器指向当前活动线程的TEB结构 1 // struct _TEB 2 +0x000 NtTib : _NT_TIB 3 ... 4 +0x030 ProcessEnvironmentBlock : Ptr32 _PEB // 指向当前进程PEB的指针 - FS:[0x0]指向一个_NT_ ...
PEB地址的取得在NT内核系统中fs寄存器指向TEB结构,TEB+0x30处指向PEB结构,PEB+0x0c处指向PEB_LDR_DATA结构,PEB_LDR_DATA+0x1c处存放一些指向动态链接库信息的链表地址,win7下第一个指向ntdl.dll,第三个就是kernel32.dll的。 ty ...
分类:
其他好文 时间:
2017-02-16 14:25:01
阅读次数:
218
PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处,且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb的结构申明: 获 ...
分类:
系统相关 时间:
2017-02-13 23:48:00
阅读次数:
921
http://blog.csdn.net/zswang/article/details/1214857 ...
分类:
系统相关 时间:
2017-01-24 22:55:26
阅读次数:
762
Ubifs通过ubi管理MTD设备,ubi的LEB随机映射PEB,其本身占用一部分PEB,具体文件存储情况分析如下。 1. Ubi中不管是是逻辑块号还是物理块号都是从0开始的。一般情况下,Nandflash开始处存放bootloader和linux,这样LEB与PEB间存在一个偏移,此偏移由ubif ...
分类:
其他好文 时间:
2017-01-01 23:45:22
阅读次数:
1671
