[求助]求证，EPROCESS结构中的Peb指针偏移是这样吗-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]求证，EPROCESS结构中的Peb指针偏移是这样吗

发表于: 2010-5-18 15:16 4491

[求助]求证，EPROCESS结构中的Peb指针偏移是这样吗

yeluosong

2010-5-18 15:16

4491

ntbuildernumber = NtBuildNumber

if (ntbuildernumber > 0x1B58 )
   {
      if ( ntbuildernumber == 7022
      || ntbuildernumber == 7048
      || ntbuildernumber == 7068
      || ntbuildernumber == 7100
      || ntbuildernumber == 7600 )
      pebOffset = 0x1A8u;
   }
   else
   {
      switch ( ntbuildernumber )
      {
      case 0x1B58:
         pebOffset = 0x1A0u;
         break;
      case 0x893:
      case 0xA28:
         pebOffset = 0x1B0u;
         break;
      case 0xECE:
         pebOffset = (-((unsigned int)CurSerPackVersion > 0) & 0x10) + 400;
         break;
      default:
         if ( ntbuildernumber == 6000
            || (unsigned int)ntbuildernumber > 0x1770 && (unsigned int)ntbuildernumber <= 0x1772 )
            pebOffset = 0x188u;
         break;
      }
   }
只有xp系统，不晓得其他是否这样。

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (1)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼这种东西还要硬编码？PsGetProcessPeb就有了嘛 2010-5-19 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yeluosong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼这种东西还要硬编码？PsGetProcessPeb就有了嘛 2010-5-19 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复