PEB

<逆向工程核心原理> 静态反调试技术总结

1.PEB#include"stdio.h" #include"windows.h" #include"tchar.h" voidPEB() { HMODULEhMod=NULL; FARPROCpProc
zhangmiaoping23·2015-03-23 16:00

Java安全—Java实现对称加密

它是初等加密算法,常见的有DES、3DES、AES、PEB、IDEA等。一.对称加密算法DES    IBM提交的算法,1998年之后不断被破解,实际使用中它不具备安全性。     
bijian1013·2015-02-26 22:00

Java安全—Java实现对称加密

它是初等加密算法,常见的有DES、3DES、AES、PEB、IDEA等。一.对称加密算法DES    IBM提交的算法,1998年之后不断被破解,实际使用中它不具备安全性。     
bijian1013·2015-02-26 22:00

查看DLL的引用计数

DLL的相关信息在进程环境块中(PEB),需要使用WinDbg工具查看。而这个环境块是由Windows内核维护的,所以它不像API层那么稳
aqtata·2015-01-30 11:00

0day安全-软件漏洞分析技术(第一版)--6_4_heap_PEB 源码改造

由于6_4_heap_PEB的双循环列表堆溢出利用,需要人工定位好几处地址,而这些地址通过程序可以轻易得到,故稍微改造下,经测试,此堆溢出利用程序能在2000系统上正常运行,XPSP3系统不行。
zhangmiaoping23·2014-08-20 16:00

RTM-DSP项目总结

1.项目介绍在NINJA设备上支持RTM-ISDN卡RTM-ISDN卡硬件组成主要组成单元C6415:DSPPEB383(上图中的PEX8112改为PEB383,因为后者具有NT功能):PCIE2PCIbridgePEF22554
moon146·2014-08-19 09:39

8.asm-PEB、TEB的地址(ntdll!RtlGetCurrentPeb得到PEB)

如果不想写汇编的可以用这个PPEBNTAPIRtlGetCurrentPeb();PPEBPeb=RtlGetCurrentPeb();其汇编就是:ntdll!RtlGetCurrentPeb:7c97efa964a118000000moveax,dwordptrfs:[00000018h]7c97efaf8b4030moveax,dwordptr[eax+30h]7c97efb2c3retFS:
花熊·2014-07-11 15:31

8.asm-PEB、TEB的地址(ntdll!RtlGetCurrentPeb得到PEB)

如果不想写汇编的可以用这个PPEBNTAPIRtlGetCurrentPeb(); PPEBPeb=RtlGetCurrentPeb();其汇编就是:ntdll!RtlGetCurrentPeb: 7c97efa964a118000000moveax,dwordptrfs:[00000018h] 7c97efaf8b4030moveax,dwordptr[eax+30h] 7c97efb2c3re
hgy413·2014-07-11 15:00

lingo5

@peb(a,x)当到达负荷为a,服务系统有x个服务器且允许无穷排队时的Erlang繁
a316212802·2014-05-21 22:00

通过堆栈获取进程自身加载模块

#include"stdafx.h" #include #include //通过堆栈获取进程自身模块 voidEnumModule() { DWORD*PEB=NULL, *Ldr=NULL, *Flink
earbao·2014-04-08 15:00

调试器检测技术 - 2、PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags

2、PEB.NtGlobalFlag,Heap.HeapFlags,Heap.ForceFlagsPEB.NtGlobalFlagPEB另一个成员被称作NtGlobalFlag(偏移0x68),壳也通过它来检测程序是否用调试器加载
zhoujiaxq·2014-04-08 10:00

枚举PEB获取进程模块列表

枚举进程模块的方法有很多种,常见的有枚举PEB和内存搜索法,今天,先来看看实现起来最简单的枚举PEB实现获取进程模块列表。首先,惯例是各种繁琐的结构体定义。
sonsie007·2014-03-31 00:00

旧书重温:0day2【4】动态获取函数地址

http://www.cnblogs.com/witty/p/PEB_shellcode_win7_xp.html旧书重温:0day2【4】动态获取函数地址
冷风·2014-03-28 15:07

65.windbg-!process显示进程(内核)

process00 ****NTACTIVEPROCESSDUMP**** PROCESS825b7830SessionId:noneCid:0004Peb:00000000ParentCid:0000
hgy413·2014-03-02 22:00

x64 PEB简介 && 有关PEB的一些函数

尽管操作PEBBLOCK现在已经没什么价值了,但是PEBBLOCK作为内核的一个重要结构,这里还是提一下:x64EPROCESS结构+0x000Pcb:_KPROCESS+0x160ProcessLock:_EX_PUSH_LOCK+0x168CreateTime:_LARGE_INTEGER+0x170ExitTime:_LARGE_INTEGER+0x178RundownProtect:_EX
BMOP·2014-02-18 21:37

0.driverbase-内存管理相关函数

processsysmtem PROCESS8a52a830SessionId:noneCid:0004Peb:00
hgy413·2014-02-04 20:00

Win32下常见反调试技术

IsDebuggerPresent函数的实现方法一致)mov    eax,dwordptrfs:[18]   当前进程TEB->Ptr32_NT_TIBmov    eax,dwordptr[eax+30]   eax+30h是peb
atvance016·2013-12-17 15:00

63.windbg-r?(使得伪寄存器获得任意类型信息)

可以使用任何类型如,我们知道@$peb的类型是_PEB:0:000>dtntdll!*PEB* ntdll!_PEB ntdll!_PEB_LDR_DATA0:000>?
hgy413·2013-10-21 13:00

windows程序员进阶系列:《软件调试》之Win32堆

默认堆的句柄会被保存在进程环境块_PEB的ProcessHeap字段中。要获得_PEB的地址,可以通过$peb伪寄存器来获得,dt_PEB@$peb。也可以通过.pro
ithzhang·2013-10-14 18:00

Win32下FS寄存器、TEB和PEB详解

在Win32下,FS段寄存器指向当前的TEB结构,在TEB编译0x30处是PEB指针,通过这个指针即可获得PED的地址。
u011843461·2013-09-29 10:00

windbg 如何再内核模式调试用户空间的程序

process 0 0**** NT ACTIVE PROCESS DUMP ****   PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid
whatday·2013-09-18 13:00

windbg 如何再内核模式调试用户空间的程序

process 0 0**** NT ACTIVE PROCESS DUMP ****   PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid
飘雪超人·2013-09-18 13:00

LDR断链 隐藏DLL

typedefstruct_LSA_UNICODE_STRING{USHORTLength;USHORTMaximumLength;PWSTRBuffer;}UNICODE_STRING,*PUNICODE_STRING;typedefstruct_PEB_LDR_DATA
Yoie·2013-09-14 23:42

windbg调试命令9(dt、d)

0:kd>dt_PEB nt!
v5browser·2013-04-12 16:00

peb、!teb)

PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。
v5browser·2013-04-12 16:00

PEB 中遍历 得到 模块信息

void*PEB=NULL, *Ldr=NULL, *Flink=NULL, *p=NULL, *BaseAddress=NULL, *head=NULL, *FullDllName=NULL; //
sincoder·2013-03-30 00:00

PEB结构----枚举用户模块列表(图)

PEB结构----枚举用户模块列表(图)本文在主主要以上述两篇文章为基础,对PEB的结构进行了详细的分析,重点是在揭示PEB结构中的list—entry的应用,并且以C语言Code进行实证。
cosmos180·2013-03-05 20:00

SEH知识收集

SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB
wh6926981·2013-03-01 09:16

SEH知识收集

线程堆栈底部00CSubSystemTib010FiberData014ArbitraryUserPointer018FS段寄存器在内存中的镜像地址020进程PID024线程ID02C指向线程局部存储指针030PEB
wh6926981·2013-03-01 09:16

windbg常用命令

peb显示processEnvironmentBlock4.lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
yaorongzhen123·2013-01-07 22:00

程序实现Win8任务管理器中的获取进程操作系统上下文

我装Win8后,就在那个任务管理器发现一个奇怪的东西“操作系统上下文”,实话不懂这个啥意思,不过貌似挺有趣的,就逆了一下,发现是NtQueryInformationProcess然后从PEB里面拿的,于是又
a1875566250·2013-01-01 12:00

几种得到kernel32.dll地址的方法

利用PEB结构来查找原理:FS段寄存器作为选择子指向当前的TEB结构,在TEB偏移0x30处是PEB指针。
pud_zha·2012-10-23 17:00

利用windbg探索进程和进程上下文

process00 ****NTACTIVEPROCESSDUMP**** PROCESS821b7490SessionId:noneCid:0004Peb:00000
cqupt_chen·2012-10-18 17:00

Nand: OOB BBT ECC PEB LEB

OBB:例如SamsungK9F1208U0B,数据存储容量为64MB,采用块页式存储管理。8个I/O引脚充当数据、地址、命令的复用端口。芯片内部存储布局及存储操作特点: 一片Nandflash为一个设备(device),其数据存储分层为:   1(Device)=4096(Blocks)   1(Block) - =32  (Pages/Rows)页与行是相同的意思,叫法不一样   1(Page
panfengsoftware·2012-08-13 13:00

windbg 常用命令详解

peb显示processEnvironmentBlock4、lmvm可以查看任意一个dll的详细信息例如:我们查看cyusb.sys的信息5.reload!
Jackchenyj·2012-07-13 12:34

windbg 常用命令详解

peb显示processEnvironmentBlock  4、lmvm可以查看任意一个dll的详细信息例如:我们查看cyusb.sys的信息5.reload!
chenyujing1234·2012-07-13 12:00

C++向目标进程PEB模块链添加自己的DLL

有时候为了让内存注入的DLL现身,就需要用到这个方法了autolppeb=reinterpret_cast(AppBase::GetPEBAddress()); if(NtGetModule(_T("QQManager.dll"))==NULL) { StringStartupPath=String(BaseDllDir)+_T("QQManager.dll"); BaseDllPEB.DllBa
rrrfff·2012-06-23 07:00

windbg常用命令

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
martin2350·2012-06-12 15:00

IsDebuggerPresent解密

7C812E03>64:A118000000moveax,dwordptrfs:[18] //指向TEB自身,也就是FS 7C812E098B4030moveax,dwordptr[eax+30] //指向PEB
chence19871·2012-05-09 16:00

PEBPEB_LDR_DATA结构

PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx)这个进程环境块就不罗嗦了
BetaBin·2012-04-20 16:00

强制卸载目标进程模块

代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。注:强制卸载可能导致目标进程崩溃。
qq752923276·2012-03-08 18:00

fs寄存器

SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB
SunnyBeiKe·2011-10-25 16:00

FS TIB TEB PEB

 本篇发表我的TEB和PEB的一些见解,我把它图形化了,更形象便于理解。
jiangtongcn·2011-08-23 21:00

Windbg简单命令

获得进程peb==========================================
wwwwly·2011-08-17 15:00

添加用户代码

#include intmain() { __asm{ pushebp subesp,0x40; movebp,esp; pushebp moveax,fs:0x30;PEB
u011351173·2011-08-05 01:00

从Entry Point到main函数调用(4)

另外,通过PEB中的ProcessP
driftcloudy·2011-05-21 14:00

改写PEB在傀儡进程执行代码

方法来源于shadow3,我整理下;#include#include#pragmacomment(lib,"ntdll.lib")typedeflongNTSTATUS;typedefstruct_ChildProcessInfo{ DWORDdwBaseAddress; DWORDdwReserve;}CHILDPROCESS,*PCHILDPROCESS;NTSYSAPINTSTATUSNTA
wzsy·2011-03-11 15:00

缓冲溢出Shellcode 代码

push ebp ;获取kernel32.dll的基址 保存于eax push esi ;通常在内存操作指令中作为“源地址指针”使用 xor eax, eax mov eax, fs:[0x30] ;PEB
king_tt·2011-03-04 12:00

缓冲溢出Shellcode 代码

asm{movebp,esppushebp;获取kernel32.dll的基址保存于eaxpushesi;通常在内存操作指令中作为“源地址指针”使用xoreax,eaxmoveax,fs:[0x30];PEB
jackydai987·2011-03-04 12:00

在内核态下巧设用户模块断点

processPROCESS8054a900 SessionId:none Cid:0000   Peb:00000000 ParentCid:0000   DirBase:00039000 ObjectTable
viper·2011-02-21 10:00
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他