[求助]已知一个进程的句柄,怎么获得这个进程的基地址？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]已知一个进程的句柄,怎么获得这个进程的基地址？

发表于: 2011-6-26 22:08 18243

[求助]已知一个进程的句柄,怎么获得这个进程的基地址？

aaa2520

2011-6-26 22:08

18243

CreateProcess后想获得新进程的基地址，有什么简单那方法吗？

多谢了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・2

免费・0

支持

最新回复 (31) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 PEB+0x8处读一下吧~ 2011-6-26 22:45 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼 EnumProcessModule 后用GetModuleFileNameEx 尝试性获取各个基址，如果获取成功就是主模块基址... 2011-6-26 22:47 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼直接读原始PE文件不行吗？ 2011-6-26 23:50 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 5 楼 win7下用od加载发现基地址是动态的 2011-6-27 08:37 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 6 楼看来lz调试的程序自带重定位节的。能否上传二进制文件看看？我还没见过这样的程序，有点好奇。 2011-6-27 10:27 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 7 楼 GetModuleFileNameEx GetModuleHandleEx 之类API 2011-6-27 10:58 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼这样做应该可以了吧。 1，EnumProcessModules 2，GetModuleInformation,遍历上边得到目标进程的模块列表，找到你要的模块（GetModuleFileNameEx). 2011-6-27 12:05 0
stonerhes 雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	stonerhes 9 楼 fs->peb。achillis说的很清楚了 2011-6-27 13:04 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 10 楼汇编 fs:[30] 已经获得了 fs的值，怎么转化成地址，为高级语言访问？地址 fs+30 ？？ fs*0xffffffff+30 ？ 2011-6-27 14:43 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼有API不用要自己去硬编码真是蛋疼 2011-6-27 15:23 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 12 楼如果是当前进程，GetModuleHandle( NULL )返回的是什么？如果有其它进程的handle， HMODULE hMod; DWORD cbNeeded; HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, processID ); EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded); hMod应该就是。 2011-6-27 16:31 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 13 楼 EXE一般没有重定位信息, 就在PE头里找吧 2011-6-27 16:43 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 14 楼返回的是程序本身的，想获得程序通过CreateProcess 启动后的程序的基地址 2011-6-27 16:45 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 15 楼 HMODULE hMod; DWORD cbNeeded; HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, processID ); EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded); hMod应该就是。 2011-6-27 17:41 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 16 楼也可以写一段shellcode,远线程注入目标进程执行读取peb，将想要的数据存放在shellcode设置的变量里。最后用ReadProcessMemory读出来。 2011-6-27 17:59 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 17 楼 MSDN： http://msdn.microsoft.com/en-us/library/ms682621(v=vs.85).aspx 2011-6-27 18:33 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 18 楼 ring3 下能实现吗？ 2011-6-28 08:55 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 19 楼我告诉你吧~但这个方法在某些情况下不一定准确: 先用 CONTEXT ThreadCxt; ThreadCxt.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.hThread,&ThreadCxt); 取出EIP,然后用 invoke VirtualQuery,lpControlFunc,addr mbi,sizeof MEMORY_BASIC_INFORMATION 不过这里你明显需要用VirtualQueryEX了之后要用mbi.BaseAddress还是mbi.AllocationBase你自己决定喽! 上面说了某些情况下会不准确,什么情况下呢?就是如果当前EIP正运行在一个动态申请的内存上,一般高级语言写的程序不会这么做,壳才这么做. 上面achillis说的PEB我只知道在进程创建的时候可以获取到,不知道进程运行后怎么获取,如果能获取的话,建议还是用这个方法方便点! AZMC的方法也行,如: invoke GetModuleHandleExA,GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,@EIP,addr hModule 但可惜的是,好像只能用在自己身上... 2011-6-28 09:13 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 20 楼额,刚没仔细看你内容,你是想获取自己创建的进程基地址?那获取PEB的方法告诉你:(需要是暂停或者调试方式创建的进程才可以) CONTEXT ThreadCxt; ThreadCxt.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.hThread,&ThreadCxt); printf("Target PEB Addr : 0x%08X.\n",ThreadCxt.Ebx); 还有,这时候EAX的地址是程序入口点! 可以参考类似的文章:http://hi.baidu.com/viruswizard/blog/item/466279123106db8a6538db9c.html 2011-6-28 09:30 1
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼可以啊，而且随时可以读…… 2011-6-28 10:22 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 22 楼多谢按照这种方法实现了，但是还是有点想不通，在win7下写一个内存注册机，发现每次需要补丁的地址不一样，通过上面的方法获得基地址还是400000，反正相对入口地址的偏移量是固定的就直接用入口地址+偏移量作补丁地址了。疑惑是win7加载应用程序为什么 peb中基地址命名是400000，但是每次程序的入口的地址还是动态的？ 2011-6-28 16:39 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 23 楼有这么神奇的事?你确定是入口地址? 2011-6-28 19:55 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 24 楼通过peb 获得的基地址是 400000 但是win7不是按照这个基础地址加载的，不知道为什么？ 2011-6-28 20:01 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 25 楼如果不是入口地址,则有可能是后面动态申请的内存~ 2011-6-28 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aaa2520

107

发帖

401

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 PEB+0x8处读一下吧~ 2011-6-26 22:45 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 3 楼 EnumProcessModule 后用GetModuleFileNameEx 尝试性获取各个基址，如果获取成功就是主模块基址... 2011-6-26 22:47 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼直接读原始PE文件不行吗？ 2011-6-26 23:50 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 5 楼 win7下用od加载发现基地址是动态的 2011-6-27 08:37 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 6 楼看来lz调试的程序自带重定位节的。能否上传二进制文件看看？我还没见过这样的程序，有点好奇。 2011-6-27 10:27 0
AZMC 雪币： 305 活跃值： (36) 能力值： ( LV12，RANK：250 ) 在线值：发帖 12 回帖 129 粉丝 0 关注私信	AZMC 6 7 楼 GetModuleFileNameEx GetModuleHandleEx 之类API 2011-6-27 10:58 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼这样做应该可以了吧。 1，EnumProcessModules 2，GetModuleInformation,遍历上边得到目标进程的模块列表，找到你要的模块（GetModuleFileNameEx). 2011-6-27 12:05 0
stonerhes 雪币： 88 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	stonerhes 9 楼 fs->peb。achillis说的很清楚了 2011-6-27 13:04 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 10 楼汇编 fs:[30] 已经获得了 fs的值，怎么转化成地址，为高级语言访问？地址 fs+30 ？？ fs*0xffffffff+30 ？ 2011-6-27 14:43 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼有API不用要自己去硬编码真是蛋疼 2011-6-27 15:23 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 12 楼如果是当前进程，GetModuleHandle( NULL )返回的是什么？如果有其它进程的handle， HMODULE hMod; DWORD cbNeeded; HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, processID ); EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded); hMod应该就是。 2011-6-27 16:31 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 13 楼 EXE一般没有重定位信息, 就在PE头里找吧 2011-6-27 16:43 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 14 楼返回的是程序本身的，想获得程序通过CreateProcess 启动后的程序的基地址 2011-6-27 16:45 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 15 楼 HMODULE hMod; DWORD cbNeeded; HANDLE hProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, processID ); EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded); hMod应该就是。 2011-6-27 17:41 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 16 楼也可以写一段shellcode,远线程注入目标进程执行读取peb，将想要的数据存放在shellcode设置的变量里。最后用ReadProcessMemory读出来。 2011-6-27 17:59 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 17 楼 MSDN： http://msdn.microsoft.com/en-us/library/ms682621(v=vs.85).aspx 2011-6-27 18:33 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 18 楼 ring3 下能实现吗？ 2011-6-28 08:55 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 19 楼我告诉你吧~但这个方法在某些情况下不一定准确: 先用 CONTEXT ThreadCxt; ThreadCxt.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.hThread,&ThreadCxt); 取出EIP,然后用 invoke VirtualQuery,lpControlFunc,addr mbi,sizeof MEMORY_BASIC_INFORMATION 不过这里你明显需要用VirtualQueryEX了之后要用mbi.BaseAddress还是mbi.AllocationBase你自己决定喽! 上面说了某些情况下会不准确,什么情况下呢?就是如果当前EIP正运行在一个动态申请的内存上,一般高级语言写的程序不会这么做,壳才这么做. 上面achillis说的PEB我只知道在进程创建的时候可以获取到,不知道进程运行后怎么获取,如果能获取的话,建议还是用这个方法方便点! AZMC的方法也行,如: invoke GetModuleHandleExA,GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,@EIP,addr hModule 但可惜的是,好像只能用在自己身上... 2011-6-28 09:13 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 20 楼额,刚没仔细看你内容,你是想获取自己创建的进程基地址?那获取PEB的方法告诉你:(需要是暂停或者调试方式创建的进程才可以) CONTEXT ThreadCxt; ThreadCxt.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.hThread,&ThreadCxt); printf("Target PEB Addr : 0x%08X.\n",ThreadCxt.Ebx); 还有,这时候EAX的地址是程序入口点! 可以参考类似的文章:http://hi.baidu.com/viruswizard/blog/item/466279123106db8a6538db9c.html 2011-6-28 09:30 1
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼可以啊，而且随时可以读…… 2011-6-28 10:22 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 22 楼多谢按照这种方法实现了，但是还是有点想不通，在win7下写一个内存注册机，发现每次需要补丁的地址不一样，通过上面的方法获得基地址还是400000，反正相对入口地址的偏移量是固定的就直接用入口地址+偏移量作补丁地址了。疑惑是win7加载应用程序为什么 peb中基地址命名是400000，但是每次程序的入口的地址还是动态的？ 2011-6-28 16:39 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 23 楼有这么神奇的事?你确定是入口地址? 2011-6-28 19:55 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 24 楼通过peb 获得的基地址是 400000 但是win7不是按照这个基础地址加载的，不知道为什么？ 2011-6-28 20:01 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 25 楼如果不是入口地址,则有可能是后面动态申请的内存~ 2011-6-28 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复