PEB

shellcode定位kernel32与LoadLibrary

//定位Kernel32__declspec(naked)intGetKernel32Base(){__asm{XORECX,ECX;ECX=0MOVESI,FS:[ECX+0x30];ESI=&(PEB
cmdhack·2011-02-05 22:00

PEB遍历进程所有模块

printf("PEBAddr:%x/n",pbytePEB);BYTE*pLdrData=pbytePEB+0x0C;pLdrData=(BYTE*)*(DWORD*)pLdrData;printf("PEB_L
YL_WH·2010-12-11 18:00

FS找Kernel32.dll基地址

线程堆栈底部00CSubSystemTib010FiberData014ArbitraryUserPointer018FS段寄存器在内存中的镜像地址020进程PID024线程ID02C指向线程局部存储指针030PEB
lwglucky·2010-08-30 01:34

FS找Kernel32.dll基地址

线程堆栈底部00CSubSystemTib010FiberData014ArbitraryUserPointer018FS段寄存器在内存中的镜像地址020进程PID024线程ID02C指向线程局部存储指针030PEB
lwglucky·2010-08-30 01:34

windbg命令

_peb(windows2003下改为:dt-v-rnt!_peb)dt_eprocessdt-v-r_eprocess(加上-v-r显示详细结构)dtnt!
lwglucky·2010-08-25 23:46

windbg命令

_peb(windows2003下改为:dt-v-rnt!_peb)dt_eprocessdt-v-r_eprocess(加上-v-r显示详细结构)dtnt!
lwglucky·2010-08-25 23:46

关于FS寄存器的资料

SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB
兔子的技术博客·2010-07-02 13:00

PEB获取GetProcAddrees函数地址

1.fs寄存器指向TEB结构2.在TEB+0x30地方指向PEB结构3.在PEB+0x0C地方指向PEB_LDR_DATA结构4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向
lwglucky·2010-06-25 09:56

PEB获取GetProcAddrees函数地址

1.fs寄存器指向TEB结构2.在TEB+0x30地方指向PEB结构3.在PEB+0x0C地方指向PEB_LDR_DATA结构4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向
lwglucky·2010-06-25 09:56

windbg 命令集 总结

_peb(windows2003下改为:dt-v-rnt!_peb)dt_eprocessdt-v-r_eprocess(加上-v-r显示详细结构)dtnt!
laokaddk·2010-06-24 20:53

windbg 命令集 总结

_peb(windows2003下改为:dt-v-rnt!_peb)dt_eprocessdt-v-r_eprocess(加上-v-r显示详细结构)dtnt!
laokaddk·2010-06-24 20:53

修改PEB,断链隐藏模块成功

修改PEB,断链隐藏模块成功 继续实践之前的想法,就是断掉如下这个结构中的双向链表:typedefstruct_LDR_MODULE{LIST_ENTRY         InLoadOrderModuleList
laokaddk·2010-06-24 20:16

修改PEB,断链隐藏模块成功

修改PEB,断链隐藏模块成功 继续实践之前的想法,就是断掉如下这个结构中的双向链表:typedefstruct_LDR_MODULE{LIST_ENTRY         InLoadOrderModuleList
laokaddk·2010-06-24 20:16

遍历EPROCESS中的ActiveProcessLinks枚举进程

遍历EPROCESS中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h
laokaddk·2010-06-24 20:21

遍历EPROCESS中的ActiveProcessLinks枚举进程

遍历EPROCESS中的ActiveProcessLinks枚举进程 前面对PEB的相关结构和其中的重要成员进行了分析和学习,现在开始真正进入内核,学习内核中的一些结构.这个EPROCESS结构在ntddk.h
laokaddk·2010-06-24 20:21

PEB获取内存中模块列表

PEB中的Ldr部分包含有当前进程所加载的模块信息.lkd>dt_pebntdll!
laokaddk·2010-06-24 20:17

PEB获取内存中模块列表

PEB中的Ldr部分包含有当前进程所加载的模块信息.lkd>dt_pebntdll!
laokaddk·2010-06-24 20:17

通过TEB/PEB枚举当前进程空间中用户模块列表

☆通过TEB/PEB枚举当前进程空间中用户模块列表 http://www.sczgroup.org/windows/200311231555.txt 实在没精力找出最早介绍该项技术的文章,尽管很想知道答案
S.l.e!ep.¢%·2010-04-30 09:00

用windbg内核模式调试用户态程序

process00****NTACTIVEPROCESSDUMP****   PROCESS80a02a60 Cid:0002   Peb:00000000 ParentCid:0000   DirBase
lwglucky·2010-03-24 12:00

用windbg内核模式调试用户态程序

process00****NTACTIVEPROCESSDUMP****   PROCESS80a02a60 Cid:0002   Peb:00000000 ParentCid:0000   DirBase
lwglucky·2010-03-24 12:55

用windbg内核模式调试用户态程序

process00****NTACTIVEPROCESSDUMP****   PROCESS80a02a60 Cid:0002   Peb:00000000 ParentCid:0000   DirBase
lwglucky·2010-03-24 12:55

find base addr of kernel32.dll

mov esi,fs:[0x30]//fs=thread ctrl modole TEB   mov eax,[esi]+0x0c//process ctrl modole PEB
skymr·2010-03-22 01:00

通过PEB的Ldr枚举进程内所有已加载的模块

一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息_PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理1、通过fs:[30h]获取当前进程的_
yuzl32·2010-02-23 13:00

windbg常用命令

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
danxuezx·2010-02-04 11:00

64位系统应用层获取peb

今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。
whf727·2009-12-06 09:00

64位系统应用层获取peb

今个把在获取peb的问题描述一下。在32位系统下,我们都知道可以简单的通过内联汇编得到fs:30位置的就是peb的地址,也可使用NtQueryInformationProcess得到。
whf727·2009-12-06 09:00

关于进程枚举

关于进程枚举2009-10-1814:30使用QuerySystemInformation的效果是下面的调用ProcessInformation->ExpGetProcessInformation->PEB
S.l.e!ep.¢%·2009-10-25 17:00

切换进程环境

有内核函数可以调KeAttachProcess,不过是未公开的,有个地方说参数是PEB的指针,简直是××,实际上参数是pcb的指针,就是KPROCESS的指针,这个是EPROCESS的第一个域,切换回来用
evileagle·2009-10-20 22:00

fs寄存器 资料

SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址(TEB)020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB
whf727·2009-08-24 14:00

fs寄存器 资料

00CSubSystemTib010FiberData014ArbitraryUserPointer018FS段寄存器在内存中的镜像地址(TEB)020进程PID024线程ID02C指向线程局部存储指针030PEB
whf727·2009-08-24 14:00

PHOTOSHOP路径完全精通手册

贝赛尔是1962年法国雷诺汽车公司的PEB构造的一种以“无穷相近”为基础的参数曲线,以此曲线为基础,完成了一种曲线与曲面的设计系统UNISURF,并于1972年在该公司应用。
m2maomao·2009-04-03 17:00

PEB

PEB(ProcessEnvironmentBlock,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。windbg 中使用!
S.l.e!ep.¢%·2009-04-01 08:00

Windows Heap Overflows using the Process Environment Block (PEB)

[转载]WindowsHeapOverflowsusingtheProcessEnvironmentBlock(PEB)文章作者:c0ntexb[at]gmail.comThePEB(ProcessEnvironmentBlock
S.l.e!ep.¢%·2009-03-31 22:00

peb 和 !teb 命令)

首先介绍PEB和TEB概念:PEB(ProcessEnvironmentBlock,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。
陈本峰·2009-03-06 13:00

peb 和 !teb 命令)

首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。
izuoyan·2009-03-06 13:00

peb 和 !teb 命令)

首先介绍PEB和TEB概念:PEB(ProcessEnvironmentBlock,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。
陈本峰·2009-03-06 13:00

peb 和 !teb 命令)

首先介绍PEB和TEB概念: PEB(ProcessEnvironmentBlock,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 
WinGeek·2009-03-06 13:00

GetCurrentDirectory的一个问题

GetCurrentDirectory的一个问题前天翻看(第5版)时才知道,windows将每个进程的CurrentDirectory放在它的PEB中,今天翻出XPSP3的PEB(如下表)看了看,确实是
misterliwei·2009-01-09 12:00

Windows版本和检测

Windows版本和检测 前天在研究PEB位置时发现自XPSP2之后就开始随机变动位置了,而不是想以前那样固定在0X7FFDF000上了.我突然想起以前转发的一篇文章,此文中就是将PEB位置是否为OX7FFDF000
misterliwei·2008-12-19 11:00

防火墙普遍存在的设计缺陷--关于进程路径的获取

问题就出在获取程序路径的方法,一般的防火墙程序都是直接在ring3下获取这些信息,也就是说防火墙程序获取的这些信息,基本上是程序的PEB中存放的信息。
iiprogram·2008-09-09 08:00

debug常用命令解析

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息 例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
heeb123·2008-06-25 11:00

debug常用命令解析

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息 例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
heeb123·2008-06-25 11:00

U盘制作启动盘

以下为简要步骤 下载PEB
cxxtjh·2008-05-22 11:51

收集点关于FS寄存器的资料

SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB
xbin8·2008-03-08 21:00

Windbg使用指南(1)---常用命令

peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息 例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载
aoosang·2008-03-08 15:00

取得程序的名字

取得程序的名字取得程序的名字#include int main(){    void *PEB, *Ldr, *Flink, *FullImagePath;    wchar_t *Name = NULL
幽幽·2008-02-07 17:00

取得KERNEL32.DLL位置的一种方法

 取得KERNEL32.DLL位置的一种方法2009-10-7编辑在代码插入运行时,常常要知道kernel32.dll的位置,进而获得GetProcAddress的地址,最近看了以前的一篇《从PEB中取出
misterliwei·2008-01-06 23:00

完成端口IOCP,重叠,消息选择,消息异步等等....

谢谢免杀之神给的PEB过防火墙的资料,时间不多看群里热闹把讨论的是关于多连接的问题记下来以后整理.........夕草(8999094)2007-11-2922:26:20我夕草(8999094)2007
61party·2007-11-30 14:00

完成端口IOCP,重叠,消息选择,消息异步等等....

谢谢免杀之神给的PEB过防火墙的资料,时间不多看群里热闹把讨论的是关于多连接的问题记下来以后整理.........夕草(8999094)2007-11-2922:26:20我夕草(8999094)2007
javahigh1·2007-11-30 14:00

完成端口IOCP,重叠,消息选择,消息异步等等....

阅读更多谢谢免杀之神给的PEB过防火墙的资料,时间不多看群里热闹把讨论的是关于多连接的问题记下来以后整理.........夕草(8999094)2007-11-2922:26:20我夕草(8999094
61party·2007-11-30 14:00
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他