2. 程式人生 > >通過PEB遍歷當前進程中的模塊(C語言實現)

通過PEB遍歷當前進程中的模塊(C語言實現)

阿新 發佈:2019-05-15
turn 名稱 應用程序 res info and title 當前 mod

0x00 相關說明:

Windows應用層如果要遍歷當前進程所加載的模塊可以使用WIN32API通過進程快照來實現

通過PEB來遍歷進程模塊沒有WIN32API的使用痕跡,在某些場合更加好用

其中32位應用程序的 PEB 的地址可以通過 fs:[0x30]獲取,fs:[0]為TEB結構的地址

0x01 相關數據結構:

下面的數據結構可以在windbg中使用命令查看(使用 dt <數據結構名稱>)

typedef struct _TEB { //fs:[0]
NT_TIB Tib;
PVOID EnvironmentPointer;

CLIENT_ID Cid;
PVOID ActiveRpcInfo;
PVOID ThreadLocalStoragePointer;
PPEB Peb;
//......
} TEB, * PTEB;

typedef struct _PEB { //fs:[0x30]
BYTE InheritedAddressSpace;
BYTE ReadImageFileExecOptions;
BYTE BeingDebugged;

BYTE BitField;
PVOID Mutant;
PVOID ImageBaseAddress;
PPEB_LDR_DATA Ldr;
//......
} PEB, * PPEB;

typedef struct _PEB_LDR_DATA {
UINT Length;
BYTE Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;

//......
} PEB_LDR_DATA, * PPEB_LDR_DATA;

typedef struct _LDR_DATA_TABLE_ENTRY {
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
//......
} _LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, * PUNICODE_STRING;

typedef struct _CLIENT_ID {
PVOID UniqueProcess;
PVOID UniqueThread;
} CLIENT_ID, * PCLIENT_ID;

0x02 實現原理:

結構索引流程如下:

技術分享圖片

其中各個_LDR_DATA_TABLE_ENTRY結構的關系如下:(以3個模塊為例)

技術分享圖片

其中 InLoadOrderLinks、InMemoryOrderLinks、InInitializationOrderLinks 均為:LIST_ENTRY

0x03 代碼實現:

代碼實現如下:(記得自行添加前面介紹的相關結構定義):

int main(int argc, char* argv[])
{
PPEB pPEB = (PPEB)__readfsdword(0x30);
PPEB_LDR_DATA pLdr = pPEB->Ldr;

DWORD dwFixOffset=0;
PLDR_DATA_TABLE_ENTRY pBase, pNext;

printf("Enum InLoadOrderModuleList:\r\n");
dwFixOffset = 0;
pBase = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pLdr->InLoadOrderModuleList.Flink) - dwFixOffset);
pNext = pBase;
do {
wprintf_s(L"%s\r\n", pNext->FullDllName.Buffer);
pNext = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pNext->InLoadOrderLinks.Flink) - dwFixOffset);
} while (pBase != pNext);
printf("Enum InLoadOrderModuleList End!\r\n\r\n");

printf("Enum InMemoryOrderModuleList:\r\n");
dwFixOffset = (DWORD) & (pBase->InMemoryOrderLinks) - (DWORD)pBase;
pBase = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pLdr->InMemoryOrderModuleList.Flink) - dwFixOffset);
pNext = pBase;
do {
wprintf_s(L"%s\r\n", pNext->FullDllName.Buffer);
pNext = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pNext->InMemoryOrderLinks.Flink) - dwFixOffset);
} while (pBase != pNext);
printf("Enum InMemoryOrderModuleList End!\r\n\r\n");

printf("Enum InInitializationOrderModuleList:\r\n");
dwFixOffset = (DWORD) & (pBase->InInitializationOrderLinks) - (DWORD)pBase;
pBase = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pLdr->InInitializationOrderModuleList.Flink) - dwFixOffset);
pNext = pBase;
do {
wprintf_s(L"%s\r\n", pNext->FullDllName.Buffer);
pNext = (PLDR_DATA_TABLE_ENTRY)((DWORD)(pNext->InInitializationOrderLinks.Flink) - dwFixOffset);
} while (pBase != pNext);
printf("Enum InInitializationOrderModuleList End!\r\n\r\n");


system("pause");
return 0;
}

代碼執行結果:

技術分享圖片

通過PEB遍歷當前進程中的模塊(C語言實現)

相關推薦

通過PEB前進(C語言實現)

turn 名稱 應用程序 res info and title 當前 mod 0x00 相關說明: Windows應用層如果要遍歷當前進程所加載的模塊可以使用WIN32API通過進程快照來實現 通過PEB來遍歷進程模塊沒有WIN32API的使用痕跡,在某些場合更加好用

圖片畫框(C語言實現

在做視覺分析過程中,經常會進行影象格式的轉換以及在原圖上標框,為了更加清晰的認識影象格式,在這裡手動實現了根據YUV資料和RGB資料進行標框的操作。在效能上不及直接使用opencv + cuda, 但是可以更加直觀的理解整個原理。 // draw line // 傳入imgData

自動生成JniJava呼叫C語言實現的簽名函式名

首先編寫一個類例如HelloWorld.java類檔案 把你要在Java程式碼中宣告的呼叫C語言的native函式宣告寫在Helloworld.java程式碼中 例如: public class HelloWorld{ public native String Hello

從海量資料位數(c語言實現

題目:5億個int,從中找出第k大的數 演算法:之後補上。。。 實現: #include <assert.h> #include <fcntl.h> #include <stdio.h> #include <stdlib.h&g

在迴圈資料的表格獲取行的資料

因為每一行的資料都是foreach出來的,所以如果定義其id號的話,那麼每行都是一樣的。一、原先的辦法是定義一個num1<%int num = 1;%> 然後在每個id後 xxx<%=num%> , 在foreach的最後<%num++;%>

定義Iterator器取出set的key,然後通過key的值在map取出對應value值

//Map介面和HashMap練習 //定義一個Map物件,如下 //Map<String,String> map = new HashMap<String,String>(); //在map中新增鍵值對(“1”,“xiaohong”)、(“2”,”

【好程式設計師筆記分享】—— 通過指標字串的所有字元

前面我們學習了通過指標遍歷一維陣列,現在我們來通過指標遍歷字串中的所有字元。先來通過陣列的方法進行遍歷,再通過直接字串的方法進行遍歷。程式碼如下: #include <stdio.h> #include <string.h> int main(i

編寫程式,要求通過一次找到單鏈表倒數第 n 個節點

這是我們實習的第一道題目 1問題描述:要求通過一次遍歷找到單鏈表中倒數第 n 個節點(ps: 不允許使用 雙向連結串列;不允許 修改原始單鏈表;可使用額外的輔助空間,但是輔助空間的數目必須最小,不能和

linux內核獲取前進路徑分析

調用 http 系統調用 源碼 inux 默認 置1 () 架構圖 一個簡單的問題,·linux下獲取當前進程。我們都知道在內核中獲取當前進程可以利用current宏 #define get_current() (current_thread_info()->

linux驅動current,引用前進,及task_struct(轉)

結束運行 可執行文件 頁面 window contex round save () 喚醒 盡管內核模塊不象應用程序一樣順序執行, 內核做的大部分動作是代表一個特定進程的. 內核代碼可以引用當前進程, 通過存取全局項 current, 它在 <asm/current.h

所有子物體renderer(渲染器)的material(材質)並改變其alpha值實現若隱若現的效果

sys [] object c engine orm 器) gpo gin nts using UnityEngine;using System.Collections;using UnityEngine.UI; public class CubeControl : Mo

C程序的執行和前進的結束

結束進程 csharp log 取消 main函數 sha atexit 註冊 歷程 內核使程序執行的唯一方法,就是調用exec函數,這個函數又會啟動一個C程序啟動例程,這個啟動例程是C程序的啟動地址。負責調用main函數,並接受mainn函數的返回值。 使得進程結束的

vue.js 1.0中用v-for出的li的@click事件在移動端無效

play 需要 data class import child exp ons rec 在vue.js使用v-for遍歷出的li中的@click事件在移動端無效,在網頁端可以執行,代碼如下 <template> <div class="rating-

C# 獲取前進、線

thread ber line current div read 獲取 進程 class 1 //當前進程 2 Process current = Process.GetCurrentProcess(); 3 //進程下線程 4 ProcessThreadCollect

獲取前進(程序)主窗體句柄並設置wpf的父窗體為此句柄

imp har class 屬性 urn etc 窗體 ssh intern 有時候在c++調用wpf控件的時候,wpf控件想自己顯示窗體,但需要設置owner屬性。迂回解決辦法是設置wpf的window窗體的父窗體為進程的句柄。 1.獲取當前進程id int id

Python 通過lxmlhtml xpath

items ted windows cli XML sleep -a header Coding #coding:utf-8 ‘‘‘ Created on 2017年10月9日 @author: li.liu ‘‘‘ from selenium import webdr

【API】獲取前進的線數。

ext ssi proe first lose hand sentry roc wsize #include <Tlhelp32.h> PROCESSENTRY32 ProEntry = {0}; HANDLE hSnap = CreateT

【API】獲取前進的用戶對象和GDI對象

gdi size term npr text hand gui img lose GR_GDIOBJECTS 0 Return the count of GDI objects. // GR_USEROBJECTS 1 Return the count of US

二叉樹(先序、序、後序)

廣度 nsh 直接 循環 ron color lan 通過 ogr 二叉樹的遍歷(遞歸與非遞歸) 遍歷:traversal  遞歸:recursion 棧----------回溯----------遞歸 棧和回溯有關 本文討論二叉樹的常見遍歷方式的代碼(Java)實現,包括

一個對象所有屬性所對應的值

對象 屬性 值和遍歷 數組中的每一個元素的方法很類似註意:在遍歷數組時 其中的i對應著數組的下標。遍歷一個對象中所有屬性所對應的值