首页 > 其他 > 详细

第47章:PEB

时间:2020-08-29 18:59:08      阅读:64      评论:0      收藏:0      [点我收藏+]

技术分享图片

技术分享图片

 

 

PEB 结构体也很庞大,与代码逆向分析相关的有:

技术分享图片

① BeingDebugged

Win 7  kernel32.dll 中此 API 检查当前进程是否处于调试状态:

技术分享图片

技术分享图片

先找到 TEB ,再找到 PEB ,最后找到该值。

② ImageBaseAddress

GetModuleHandle() API 用来获取 ImageBase .

技术分享图片

③ Ldr

Ldr 成员是指向 _PEB_LDR_DATA 结构体的指针(DLL 加载到进程后,通过 Ldr 可以直接获取该模块的加载基地址):

技术分享图片

可以看到该结构体中有三个 _LIST_ENTRY 类型的成员。

技术分享图片

可以看到,它是双向链表。链表中的内容如下:

技术分享图片

技术分享图片

技术分享图片

④ ProcessHeap & NtGlobalFlag

技术分享图片

第47章:PEB

原文:https://www.cnblogs.com/Rev-omi/p/13582656.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!