2021年8月26日
比较地址
摘要: #include<stdio.h> #include<Windows.h> __declspec(naked) DWORD getKernel32() { __asm { mov eax,fs:[30h] mov eax,[eax+0ch] mov eax,[eax+14h] mov eax,[ea 阅读全文
posted @ 2021-08-26 20:21 磐正 阅读(28) 评论(3) 推荐(0)
3.PEB_LDR_DATA
摘要: 1 typedef struct _PEB_LDR_DATA 2 { 3 ULONG Length; // +0x00 4 BOOLEAN Initialized; // +0x04 5 PVOID SsHandle; // +0x08 6 LIST_ENTRY InLoadOrderModuleL 阅读全文
posted @ 2021-08-26 16:39 磐正 阅读(851) 评论(1) 推荐(0)
2.PEB
摘要: typedef struct _PEB { UCHAR InheritedAddressSpace; // 00h UCHAR ReadImageFileExecOptions; // 01h UCHAR BeingDebugged; // 02h 这里QAQ UCHAR Spare; // 03h 阅读全文
posted @ 2021-08-26 16:38 磐正 阅读(112) 评论(0) 推荐(0)
1.TEB
摘要: FS寄存器指向当前活动线程的TEB结构(线程结构) 线程TEB结构体中,每个TEB+0x30(fs:[0x30])中都指向同一个地址(TEB.ProcessEnvironmentBlock)So。我们可以用fs:[0x30]来访问PEB的结构体地址 kd> dt _tebnt!_TEB +0x000 阅读全文
posted @ 2021-08-26 16:33 磐正 阅读(680) 评论(0) 推荐(0)