PEB

反调试/反汇编技术、TEB/PEB部分说明

反调试技术WindowsAPIISDebuggerPresent查询PEB进程环境块中的ISDebugged标志CheckRemoteDebuggerPresent类似于IsDebuggerPresent
虚构之人·2024-02-02 11:04

Windows平台反调试技术学习

Windows反调试通过API调用IsDebuggerPresentIsDebuggerPresent函数通过获取进程环境块(PEB)中的
q2919761440·2024-01-19 15:21

Enigma Virtual Box 解包

下载EnigmaVirtualBox解包器链接:https://pan.baidu.com/s/1PEB8dr04wO90kUYmXIYOoA?
liqingdi437·2024-01-16 08:02

【数学建模算法】(番外5)与排队论有关的LINGO函数

@peb(load,s)该函数的返回值是当到达负荷为load,服务系统中有S个服务台且允许排队时系统繁忙的概率,也就是顾客等待的概率。2.
热爱学习的高老板·2024-01-07 01:38

遇见你我该如何逃避你——反调试技术概述

1.WindowsAPI1.1IsDebuggerPresentIsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境
王大碗Dw·2024-01-05 01:19

反调试技术

下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中,返
bj9532·2024-01-05 01:46

利用 PEB_LDR_DATA 结构枚举进程模块信息

通过学习PEBPEB_LDR_DATA结构的知识,我们可以对进程模块信息的查询以及相关存储
涟幽516·2023-12-30 09:32

Windows进程和线程and线程局部存储TLS---notes

文章目录线程局部存储Windows进程和线程什么是进程和线程进程和线程的创建内核模式下用户模式进程环境块PEB线程环境块TEB什么是线程局部存储动态线程局部存储静态线程局部存储TLS的定位TLS目录结构
Sciurdae·2023-12-29 01:05

meterpreter木马原理分析

meterpreter木马的原理,原理比较简单:首先会分配一段缓冲区,加载一段shellcode,在shellcode中调用winsocketAPI与服务器端进行通信,下载一个反射型dll,在内存中加载,使用peb
~巴哥~·2023-12-28 18:19

CobaltStrike windows木马原理分析

不同之处有使用了命名管道,使用了http的相关api来下载payload,同样使用的peb来获取api的地址,最后的后门是一个反射型dll。
~巴哥~·2023-12-28 18:15

安全防护机制

应用层安全防护ASLR(Addressspacelayoutrandomization,地址空间布局随机化)在windows上ASLR主要包括堆栈随机化、PEB与TEB随机化、映像随机化,windows
朝向高处的旅途·2023-12-06 11:44

5.4 Windows驱动开发:内核通过PEB取进程参数

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息
微软技术分享·2023-11-25 23:13

【调试技术】用户态查看PEB和TEB

概述:用户态查看进程PEB和TEB(通过windbg附加或启动调试的exe)0x01用户态查看TEB和PEB在双机调试的时候,可以直接使用!PEBPID和!
欧恩意·2023-11-06 19:13

【windows】_TEB、_PEB等结构体关系图及成员说明

_EPROCESS、_ETHREAD、_KPROCESS、_KTHREAD、_TEB、_PEB等结构体关系图https://tvax2.sinaimg.cn/large/00718WWkly1hjljnqrkecj360fcn47x6
欧恩意·2023-11-06 19:41

模块隐藏

HANDLEWINAPICreateToolhelp32Snapshot(DWORDdwFlags,DWORDth32ProcessID)//dwFlags:TH32CS_SNAPMODULE遍历模块PEB
Asura_Luo·2023-10-27 10:40

3环断链以及断链后的检测方法

而且不容易维护所以很多时候我们会通过各种方式让我们的dll注入到目标地址空间中,其中有一些方式可以不需要我们自己对dll处理重定位而是借助pe加载器让系统帮助我们处理重定位,但是就会导致我们的dll会在目标的peb
ch132·2023-09-30 23:05

Windows探究TEB和PEB

PEB(ProcessEnvironmentBlock)是进程环境块。我们知道在一个进程中有多个线程。因此每一个线程都对应一个线程环境块,而一个进程也对应有一个进程环境块。
call就不要ret·2023-09-17 21:12

getKernel32Address自实现(x64下写法)

HMODULEgetKernel32Address(){PVOID64Peb=GetPeb();PVOID64LDR_DATA_Addr=*(PVOID64**)((BYTE*)Peb+0x018);/
番茄酱料·2023-08-29 22:46

【Windows系统编程】02.进程与线程(一)-笔记

进程,进程对象虚拟内存进程不能执行代码,数据结构,三环PEB,0怀EPROCESS对进程进行管理线程列表线程才是真正执行代码主线程:主函数线程依赖于cpu时间片切换单核,多核主线程消息,进程销毁intmain
WdIg-2023·2023-08-16 07:54

内核学习记录【保护模式与驱动编程】

滴水内核学习记录看前须知保护模式学习保护模式意义段寄存器段描述符门页TLB中断与异常PEB与TEB驱动编程分页与非分页内存三环与0环通信看前须知从今天起开始记录文章,你我共同学习,体会学习的快乐。
mi-key·2023-07-28 14:27

游戏里的攻防-检测与反检测

0x2.PEB和TEBPEB(ProcessEnvironmentBlock,进程环境块):存放进程信息的结构体,尺
小鸡岛~·2023-07-22 23:28

svg转图片的3种方式

以下面这个图片方式地址为例:https://mmbiz.qpic.cn/mmbiz_svg/et9q9FvjBBoKIEABtT5CArQ6JzPXlUia24Y0ZpX2ib5qcvib6wvsACNadI0peB01ic7XFf1HWxN0Lpt1YYvgMwuoCpKFDhWGfBeb
Marydon·2023-07-17 05:52

CockroachDB架构-存储层

Peb
post_yuan·2023-04-02 10:06

进程结构体

使用windbg查看:dt_EPROCESSEPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。
虚构之人·2023-03-29 12:05

用ASM编写一个简单的Windows Shellcode思路总结

为了写出位置无关的代码,需要注意以下几点:不能对字符串使用直接偏移,必须将字符串存储在堆栈中dll中的函数寻址,由于ASLR不会每次都在同一个地址中加载,可以通过PEB.PEB_LDR_DATA找到加载模块调用其导出的函数
H_00c8·2023-03-17 08:17

PXI 数字模式仪器 PEB板卡 可嵌入STS系统平台 类似PXIe-6570 国产

PXI-DV1032-100-64M(http://www.divinetest.cn/pd.jsp?id=16#_pp=103_317)PXI-DV1032-100-64M模块是一种高密度100MHzPXI总线数字IO卡,主要用于对各种数字和混合信号集成电路进行特征分析、验证和测试,也可用于板级别电路数字信号的仿真和故障诊断。此模块由一个数据序列控制器和32个功能完全一样的数据通道组成,并可扩展
武汉缔万科技·2023-02-01 09:29

2022年驱动电机汇总清单

提供《新能源电驱动、电机控制器、电池包、充电机、激光雷达、自动驾驶模块等全车对标样件》专营新能源汽车驱动电机、电机控制器PEB、车载充电机OBC、DCDC减速器逆变器、电池包总成三电高压件,具有一手货源优势
基诺·2022-12-02 13:07

LyScript实现绕过反调试保护的示例详解

LyScript项目地址:https://github.com/lyshark/LyScript绕过反调试机制:最常用的反调试机制就是用IsDebuggerPresent该标志检查PEB+2位置
·2022-08-12 16:30

IsDebuggerPresent的反调试与反反调试

一、调用系统的IsDebuggerPresent函数(1)实现程序最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged
人类观察者·2022-04-07 20:00

IsDebuggerPresent的反调试与反反调试

一、调用系统的IsDebuggerPresent函数(1)实现程序最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged
人类观察者·2022-04-07 20:00

【安全报告】揭秘创建进程时ebx为什么指向peb的答案

一、背景为了确保被替换后的进程能顺利执行不崩溃,需要获取原进程各种上下文,并修改被替换后的新进程上下文,其中在原进程被挂起还没开始执行的时候,需要将eax指向新oep,而ebx指向新peb,而为什么这样设置的原因却很少有人提及
IT老涵·2021-10-20 15:44

[Paper Reading] Dynamic Item Block and Prediction Enhancing Block for Sequential Recommendation

主题:序列推荐paper:https://www.ijcai.org/proceedings/2019/0190.pdfcode:https://github.com/ouououououou/DIB-PEB-Sequential-RS1
小豆芽turbo·2021-06-12 02:10

自用 x86 GetProcAddress + GetModuleHandle

//从PEB的_PEB_LDR_DATA里获取已加载模块的句柄HMODULEGetLoadedModuleW(LPCWSTRlpModuleName){typedefstruct_UNICODE_STRING
hambaga·2021-01-01 21:20

django----class命名格式(函数空两行)及“peb8 expected two blank lines”的驼峰命名法...

#Createyourmodelshere.4classGene_Group(models.Model):出现错误:"classnamesshouldusecamelcaseconvention"&"peb8
weixin_30251829·2020-09-16 06:52

UBI文件系统分区开销计算

也就是说:Ø两个PEB用来存储卷表Ø一个PEB被保留,用以损耗均衡Ø一个PEB被保留,用以原子LEB改变操作Ø一定数量的PEB被保留,用以处理坏PEB;这个是用于NANDflash而不是NORflash
ivansuntech·2020-09-15 09:36

teb, peb,seh 结构

[0]的值即为teb的地址,可以将fs理解为指向teb,后面的0是个字节级别的偏移,虽然并不完全正确,但方便记忆+0x0*NtTib是个_NT_TIB结构+0x18*teb==fs:[0]+0x30*peb_NT_TIB
weixin_30551963·2020-09-14 20:12

常用的静态反调试技术及其规避方法

静态反调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态反调试而对其了解不多的话,也不好办,所以了解更多的方法不至于束手无策.1.利用PEB的BeingDebugged字段已知fs:[0x30
weixin_30460489·2020-09-11 04:16

进程结构体和线程结构体

PEB在3环,EPROCESS在0环。
kernweak·2020-09-10 21:12

修改父进程

extern"C"{#defineNTAPI__stdcalltypedefstruct_PEB*PPEB;#definePAGE_SIZE0x1000typedefLONGNTSTATUS;#defineDECLSPEC_IMPORT
cc___999·2020-09-10 17:51

FS寄存器指向当前活动线程的TEB结构(线程结构)

线程堆栈底部00CSubSystemTib010FiberData014ArbitraryUserPointer018FS段寄存器在内存中的镜像地址020进程PID024线程ID02C指向线程局部存储指针030PEB
cosmoslife·2020-09-10 13:43

翻译: Windows Internals: 第六章: 进程内部结构

用一个可执行的进程块表示,除了包含许多跟进程有关的属性,一个EPROCESS块还包含了一个指向其他相关数据的指针.例如:每个进程用ETHREAD来表示一个或多个线程.EPROCESS块与其相关的数据结果被放在系统空间,但PEB
ZeroChou·2020-09-10 12:33

Windows进程数据结构及创建流程

EPROCESS和大多数与其相关的数据结构存在于系统的地址空间中,有一个例外是进程的环境块PEB(processenvironmentblock),存在于进程的地址空间中(
Tong__Ming·2020-09-10 10:07

windbg常用命令

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
a332897696·2020-08-26 12:18

Windbg使用指南(1)---常用命令

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
bb8cbb8c·2020-08-24 13:51

利用 Blackbone 做进程保护

https://github.com/DarthTon/Blackbone#features)Featuresx86andx64supportProcessinteractionManagePEB32/PEB64ManageprocessthroughWOW64barrierProcessMemoryAllocatean
wyrover·2020-08-22 18:51

shellcode中动态定位API

2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。3,进程环境块中偏移位置为0x0C的地方存放着指向PEB_LDR_DATA结构体
whatday·2020-08-18 23:40

shellcode API的自动定位

步骤:a.找到PEBb.找到PEB_LDR_DATAc.找到InInitializationOrderModuleListd.找到kernel32.dll基地址e.找到PE头f.找到函数导出表g.利用导出表的
u200915331·2020-08-18 22:43

2020.8.14----学习记录

学习记录好些天没更新学习记录了,今天才想起这个事情,一看时间距离上一次记录都过了半个月,看来时间真的过得很快2333这段时间因为各种原因或者借口把学习记录了,orz这里记录一下最近看的反调试关于peb中的
0x菜鸡·2020-08-17 06:49

ReactOS-Freeldr镜像加载2

LOADER_PARAMETER_BLOCK这个可以看作Freeldr的PEB,结构也和PEB非常相似。
cradiator·2020-08-17 00:40

异常和中断——调试与反调试

文章目录使用PEB进行反调试使用PEB中的BeginDebug字段来检测是否处于调试环境。使用IsDebuggerPresent()来判断是否是处于调试环境。
被bin按在地上·2020-08-16 14:04
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他