PEB结构分析
一、参考文章
https://bbs.pediy.com/thread-52398.htm
http://www.youngroe.com/2015/08/01/Debug/peb-analysis/
二、如何获取PEB地址
1.1原理:FS段寄存器指向当前的TEB结构,在TEB偏移0x30处是PEB指针,通过这个指针即可取得PEB的地址。
1.2实现方法:
__asm
{
mov eax,fs:[0x30]
mov PEB,eax
}
1.3其他方式获得PEB结构
a、在内核中我们可以先PsGetCurrentProcess得到当前进程的EPROCESS,然后通过它的成员域PEB访问到当前进程
b、在内核中,我们可以通过KPRCB获得当前线程的ETHREAD,然后通过它的成员域来访问当TEB,然后再通过TEB的成员域来访问PEB
浙公网安备 33010602011771号