2. 程式人生 > >利用32位PEB結構實現從程序ID中得到程序完整路徑

利用32位PEB結構實現從程序ID中得到程序完整路徑

阿新 發佈:2019-01-30 
//PEB.h
#pragma once		
#include <windows.h>
#include <iostream>
using namespace std;
//巨集,結構體定義,函式宣告;
//#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)


//要自己定義PEB結構:

//PEB結構中的查詢程序完整路徑的結構體
typedef struct _UNICODE_STRING
{
	UINT16 Length;//short型
	UINT16 MaximumLength;
	PWCHAR Buffer;//WCHAR*型(四位元組大小的指標)
}UNICODE_STRING,PUNICODE_STRING;
//UNICODE_STRING在Ring3層不公開,(在驅動層才公開)
typedef struct _RTL_USER_PROCESS_PARAMETERS_X86
{
	UINT32 MaximumLength;
	UINT32 Length;
	UINT32 Flags;
	UINT32 DebugFlags;
	PVOID  ConsoleHandle;
	UINT32 ConsoleFlags;//UINT 4B
	PVOID  StandardInput;
	PVOID  StandardOutput; 
	PVOID  StandardError;
	ULONG32 CurrentDirectory[3];//原來是十二位元組的結構體CURDIR
	UNICODE_STRING DllPath;
	UNICODE_STRING ImagePathName;//完整路徑
	UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS_X86, *PRTL_USER_PROCESS_PARAMETERS_X86;
typedef struct _PEB_X86 
{
	UINT8 InheritedAddressSpace;
	UINT8 ReadImageFileExecOptions;
	UINT8 BeingDebugged;
	UINT8 BitField;//聯合體(位域第一位的成員)
	PVOID Mutant;//互斥體
	PVOID ImageBaseAddress;//模組載入基地址
	PVOID Ldr;//結構體(Ldr實際上為結構體型別指標)
	PRTL_USER_PROCESS_PARAMETERS_X86 ProcessParameters;
}PEB_X86,*PPEB_X86;











#ifdef _WIN32
#define RTL_USER_PROCESS_PARAMETERS RTL_USER_PROCESS_PARAMETERS_X86
#define PPEB PPEB_X86
#define PEB  PEB_X86
#else
#define PPEB PPEB_X64
#define PEB  PEB_X64
#endif 



//有關查詢PEB地址的屬於程序記憶體的結構體
typedef struct _PROCESS_BASIC_INFORMATION
{
	NTSTATUS ExitStatus;
	PPEB     PebBaseAddress;   //地址
	ULONG    AffinityMask;
	LONG     BasePriority;
	ULONG    UniqueProcessId;
	ULONG    InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;
typedef PROCESS_BASIC_INFORMATION *PPROCESS_BASIC_INFORMATION;


//函式指標原型定義:
typedef enum _PROCESSINFOCLASS {
	ProcessBasicInformation,
	ProcessQuotaLimits,
	ProcessIoCounters,
	ProcessVmCounters,
	ProcessTimes,
	ProcessBasePriority,
	ProcessRaisePriority,
	ProcessDebugPort,
	ProcessExceptionPort,
	ProcessAccessToken,
	ProcessLdtInformation,
	ProcessLdtSize,
	ProcessDefaultHardErrorMode,
	ProcessIoPortHandlers,          // Note: this is kernel mode only
	ProcessPooledUsageAndLimits,
	ProcessWorkingSetWatch,
	ProcessUserModeIOPL,
	ProcessEnableAlignmentFaultFixup,
	ProcessPriorityClass,
	ProcessWx86Information,
	ProcessHandleCount,
	ProcessAffinityMask,
	ProcessPriorityBoost,
	ProcessDeviceMap,
	ProcessSessionInformation,
	ProcessForegroundInformation,
	ProcessWow64Information,
	ProcessImageFileName,
	ProcessLUIDDeviceMapsEnabled,
	ProcessBreakOnTermination,
	ProcessDebugObjectHandle,
	ProcessDebugFlags,
	ProcessHandleTracing,
	ProcessIoPriority,
	ProcessExecuteFlags,
	ProcessResourceManagement,
	ProcessCookie,
	ProcessImageInformation,
	MaxProcessInfoClass
} PROCESSINFOCLASS;






typedef
NTSTATUS(NTAPI *pfnNtQueryInformationProcess)(
	IN HANDLE ProcessHandle,//,程序控制代碼,查誰
	IN PROCESSINFOCLASS ProcessInformationClass,//列舉型別結構體,查什麼資訊
	OUT PVOID ProcessInformation,//結構體首地址,查出來的東西放在哪裡
	IN UINT32 ProcessInformationLength,//結構體大小
	OUT PUINT32 ReturnLength);//校驗值
//#define NTAPI __stdcall,指呼叫約定
//定義函式指標
//
BOOL GetProcessFullPathByProcessID(ULONG32 ProcessID, WCHAR* BufferData, ULONG BufferLegnth);

 
// PEB.cpp : 定義控制檯應用程式的入口點。
//

#include "PEB.h"

#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
int main()
{
	BOOL bOk = FALSE;
	ULONG32 ProcessID = 0;
	WCHAR   BufferData[MAX_PATH] = { 0 };
	//定義完整路徑陣列,
	//windows規定存放完整路徑的陣列最大為260個位元組;
	printf("Input Process ID\r\n");
	scanf_s("%d", &ProcessID);
	bOk = GetProcessFullPathByProcessID(ProcessID,BufferData, MAX_PATH);
	//用自定義函式實現從程序ID得到程序完整路徑的過程(程序ID,完整路徑(存放的陣列名),陣列長度)
	
	cout << bOk << endl;
	if (bOk==TRUE)
	{ 
		printf("%S\r\n", BufferData);
		//BufferData雙字,故用大S輸出字串;
	}
    return 0;
}

BOOL GetProcessFullPathByProcessID(ULONG32 ProcessID,WCHAR* BufferData,ULONG BufferLegnth)
//先找到peb結構在程序中的地址,再從peb結構中找到完整路徑所在的地址;
//GetPebByProcessID,GetProcessFullPathByPeb,
{
	BOOL						bOk = FALSE;
	NTSTATUS					Status = 0;
	//一種int型返回值
	PEB	                        Peb = { 0 };
	//PEB結構體初始化
	HANDLE						ProcessHandle = NULL;

//*開啟目標程序空間
	ProcessHandle = OpenProcess(PROCESS_QUERY_INFORMATION| PROCESS_VM_READ, FALSE, ProcessID);
	//ProcessHandle值是目標程序的程序控制代碼,是一個正數(-1是GetCurrentProcess函式,代表自己程序的偽控制代碼);
	//OpenProcess為Windows庫函式,“開啟(對方)程序空間”(想要行使的許可權(查詢|讀),BOOL型,目標程序ID)
	
	if (ProcessHandle == NULL)
	{
		return FALSE;
	}
	pfnNtQueryInformationProcess	NtQueryInformationProcess =
		(pfnNtQueryInformationProcess)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtQueryInformationProcess");
	//GetModuleHandle為Windows庫函式(GetModuleHandleW),“返回載入模組的基地址”(所以模組名字傳為雙字!)
	//GetProcAddress為Windows庫函式,“從當前程序的匯出表中獲得目標函式地址”(實際上就是遍歷匯出表來搜尋這個函式)
	//								本語句意思是從ntdll.dll的匯出表中搜索NtQueryInformationProcess函式!
	//此時函式地址得到的是自己的,(1自己的基地址,2自己的函式)//沒有用目標函式程序
	//	
	//GetProcAddress從當前函式的匯出表搜尋函式	//從當前程序空間的ntdll模組的匯出表中獲得一個函式NtQueryInformationProcess的地址
	//而不從匯入表中獲得(直接呼叫)原因是:
	//有可能就沒有匯入!(涉及到VS編譯未公開函式等原因)GetProcAddress返回的是一個泛型,

	//得到函式地址以後,發生強制型別轉換,
	if (NtQueryInformationProcess == NULL)
	{
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}
	  
//**通過 NtQueryInformationProcess 獲得 ProcessBasicInformation
	PROCESS_BASIC_INFORMATION	pbi = { 0 };
	ULONG32						ReturnLength = 0;
	//開始查程序的ProcessBasicInformation
	Status = NtQueryInformationProcess(ProcessHandle,
		ProcessBasicInformation, &pbi, sizeof(PROCESS_BASIC_INFORMATION),
		(PUINT32)&ReturnLength);
	//引數:查誰,查什麼,
	
	//Status=0
	//NT_SUCCESS(Status)=1
	if (!NT_SUCCESS(Status))
	{
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}

//***通過ReadProcessMemory 從程序裡面 PebBaseAddress 記憶體資料讀取出來
	bOk = ReadProcessMemory(ProcessHandle, pbi.PebBaseAddress, &Peb, sizeof(PEB), (SIZE_T*)&ReturnLength);
	//ReadProcessMemory是Windows庫函式,“讀程序空間的記憶體”,
	//(目標程序控制代碼,目標地址,讀到peb這個結構體指標裡,結構體大小,校驗值)
	//SIZE_T相當於ULONG_PTR;
	if (bOk == FALSE)
	{
		CloseHandle(ProcessHandle);
		ProcessHandle = NULL;
		return FALSE;
	}

	RTL_USER_PROCESS_PARAMETERS RtlUserProcessParameters = { 0 };
	bOk = ReadProcessMemory(ProcessHandle, Peb.ProcessParameters, &RtlUserProcessParameters,
		sizeof(RTL_USER_PROCESS_PARAMETERS), (SIZE_T*)&ReturnLength);

	if (RtlUserProcessParameters.ImagePathName.Buffer!=NULL)
	{
		ULONG v1 = 0;
		if (RtlUserProcessParameters.ImagePathName.Length<BufferLegnth)
		{
			v1 = RtlUserProcessParameters.ImagePathName.Length;
		}
		else 
		{
			v1 = BufferLegnth-10;
		}
		bOk = ReadProcessMemory(ProcessHandle, RtlUserProcessParameters.ImagePathName.Buffer,
			BufferData,v1,(SIZE_T*)&ReturnLength);	
		if (bOk == FALSE)
		{
			CloseHandle(ProcessHandle);
			ProcessHandle = NULL;
			return FALSE;
		}
	}
	CloseHandle(ProcessHandle);
	return TRUE;
}



本程式只使用於32位!

即只能尋找32位程序的完整路徑!

使用PEB結構以得到程序的完整路徑(包括從程序ID得到程序PEB地址和從PEB結構得到程序完整路徑)

GetProcessFullPathByProcessID相當於兩個函式GetPebByProcessID,GetProcessFullPathByPeb的合併。

從PEB結構中得到程序的完整路徑:

通過PEB結構中的RTL_USER_PROCESS_PARAMETERS型別的ProcessParameters成員,ProcessParameters成員中有ImagePathName成員。

從程序ID中得到程序PEB結構地址:
使用微軟未公開的函式NtQueryInformationProcess,其中用到列舉型別結構體PROCESSINFOCLASS,該結構體的成員PROCESS_BASIC_INFORMATION,從其中再找到PPEB型別的PebBaseAddress成員,該結構體的地址即為peb的地址。找到了peb的地址相當於已經可以開始讀取PEB的結構了。

相關推薦

利用32PEB結構實現程序ID得到程序完整路徑

//PEB.h#pragma once #include <windows.h> #include <iostream> using namespace std; //巨集,結構體定義,函式宣告; //#define NT_SUCCESS(Sta

【教程】centos7.3 32 安裝ssh實現遠端登陸

centos7.3 32位 安裝ssh實現遠端登陸 安裝ssh sudo yum install openssh* 關閉防火牆(永久禁用) sudo systemctl disable firewalld

給定一個 32 有符號整數,將整數的數字進行反轉(java實現最全面的)

題目:給定一個 32 位有符號整數,將整數中的數字進行反轉。示例 1:輸入: 123 輸出: 321 示例 2:輸入: -123 輸出: -321注意:假設我們的環境只能儲存 32 位有符號整數,其數值範圍是 [−231,  231 − 1]。根據這個假設,如果反轉後的整數溢

利用棧的資料結構實現中綴表示式到字尾表示式的轉換

 對中綴表示式按順序進行讀取,首先讀取a,因a為運算元,直接新增到字尾表示式中;然後讀取‘+’,此時符號棧為空,直接入棧,如下圖1;在讀取b,因b為運算元,直接新增到字尾表示式中,此時的字尾表示式為ab;接著讀取‘*’,乘法的優先順序大於加法(此時符號棧頂元素),乘法如棧,如圖2;接著讀取c,因c為運算元,直

利用Selenium Webdriver 2.0 實現Web自動儲存檔案到本地

接上篇,本篇講怎麼從Web下載檔案。原生問題是,從web頁面點選hyperlink去下載某個檔案時,會彈出windows模式對話方塊,選擇儲存路徑或開啟方式。為了繞開Windows的參與,就要求助Selenium Webdriver。相對通過Web上傳檔案來說,自動下載檔案

【C】利用單鏈表資料結構實現通訊錄,連結串列的增刪改查

C語言中實現連結串列,是需要利用到C語言中比較難的結構體與指標才能實現。 結構體中放一個指向後接節點的指標與每一個結點應該存放的資訊。 下面做一個命令列的通訊錄來說明連結串列的增刪改查這個問題。 一開始讓使用者輸入連結串列,按1可以輸出,按3可以刪除。 可以修改: 可以

利用kerasimage.ImageDataGenerator.flow_from_directory()實現資料夾提取圖片和進行簡單歸一化處理

keras中有很多封裝好的API可以幫助我們實現對圖片資料的讀取和處理。 比如 : keras.preprocessing.image.ImageDataGenerator.flow_from_dir

postman實現response headers獲取cookie,並將其設置為環境變量

png header 參數 ESS 數組 字段 分割 src 圖片 1.最近在學習postman的使用方法,為了保證後續模塊操作,必須在登錄時獲取的session值,並將其設置為環境變量,session的位置處於response headers裏面返回的set-cookie

pgrep---以名稱為依據執行程序佇列查詢程序

pgrep命令以名稱為依據從執行程序佇列中查詢程序,並顯示查詢到的程序id。每一個程序ID以一個十進位制數表示,通過一個分割字串和下一個ID分開,預設的分割字串是一個新行。對於每個屬性選項,使用者可以在命令列上指定一個以逗號分割的可能值的集合。 語法 pgrep(選項)(引數) 選項 -o:僅顯示找到

Java實現Html文字提取純文字

1、應用場景:從一份html檔案中或從String(是html內容)中提取純文字,去掉網頁標籤; 2、程式碼一:replaceAll搞定 //從html中提取純文字 public static String StripHT(String strHt

python實現大圖篩選出小的子圖並導成json檔案

簡述: 在做資料視覺化時會遇到這樣一個問題:比如說在瀏覽器渲染出一個力學關係圖,如果結點太多的話就密密麻麻,層層疊疊難以觀察,所以往往只需要渲染出關鍵的結點子圖即可,那麼有一個解決思路就是用python做資料處理篩選出子圖並導成前端需要的格式檔案,我寫的這個python檔案

給定一個 32 有符號整數,將整數的數字進行反轉。

class Solution: def reverse(self, x): “”" :type x: int :rtype: int “”" if x<=(pow(2,31)-1) and x>=pow(-2,31): c=abs(x) d=str©

1.給定一個 32 有符號整數,將整數的數字進行反轉。示例 1: 輸入: 123 輸出: 321 示例 2: 輸入: -123 輸出: -321 示例 3: 輸入: 120 輸出: 21

class Solution { public int reverse(int x) { long z = x; String str = String.valueOf(Math.abs(z));

java 實現無序陣列 找出第k大的數, 無序陣列充許有重複元素

要求找出第幾名的元素是什麼(找出B[i]的值)? 找出第k名的元素的值。          先從A中隨機一個下標index1, 然後進行一趟快速排序等到新陣列A1,排完了就知道index1對應的元素在A1中的新下標index2. 如果k等於index2,則A1[index2]就是要找的值。 如果 k小於in

LeetCode7 給定一個 32 有符號整數,將整數的數字進行反轉。

class Solution { public: int reverse(int x) { long long x1 = abs(x); long long y=0, n=0; std::vector<int>

C語言實現 一個字串提取一個子字串

例如: 編寫一個函式,它從一個字串中提取一個子字串。函式原型如下: int substr(char dst[], char src[],int start, int len) {} 目標是:從src陣列起始位置向後偏移start個字元的位置開始,最多複製len個非NULL字

遞迴實現 n個數選取m個數的所有組合

有n(n>0)個數,從中選取m(n>m>0)個數,找出所有的組合情況(不分順序)。這樣的組合共有 Cmn=n×(n−1)×⋯×(n−m+1)m!. 一個數組 data 有 n 個元

利用Thrift和zk簡單實現服務治理框架的訂閱釋出機制

本文簡單介紹下利用Thrift和zk簡單實現服務治理框架服務的訂閱釋出機制,類似於Dubbo的服務治理。這個只是簡單版本,只供學習和理解用。 全部程式碼下載:Github連結:github連結,點選驚喜;寫文章不易,歡迎大家採我的文章,以及給出有用

Spring Boot專案實現系統目錄下載指定檔案(D盤下,測試檔案1.txt)

@RequestMapping(value = "/downloadFileFromSysDir") public void downloadFileFromSysDir(HttpServlet

程式碼實現某個表查詢資料插入到另一個表

前提條件&產生問題原因: 1、由於資料量比較大,又沒有使用hadoop等方式處理資料。所以使用分表的形式。分表的看另一篇文章。 2、然後,需求變了,臥槽~~~需求又變了!!!不用分表了,需要把所有的分表資料,插入到一張表中。當然,這所有表的欄位要求一致。 ///稍