怎么64位进程获取32位进程PEB结构-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 怎么64位进程获取32位进程PEB结构 0.00雪花

发表于: 2016-8-5 07:01 5320

[旧帖] 怎么64位进程获取32位进程PEB结构 0.00雪花

zazazabo

2016-8-5 07:01

5320

h1=OpenProcess(PROCESS_ALL_ACCESS,FALSE,gProcess::existProcess("Injection.exe"));
  NtQueryInformationProcess = (Type_NtQueryInformationProcess) GetProcAddress(hntdll,"NtQueryInformationProcess");

  TYPE_ZwReadVirtualMemory ZwReadVirtualMemory=(TYPE_ZwReadVirtualMemory)GetProcAddress(hntdll,"ZwReadVirtualMemory");

  PROCESS_BASIC_INFORMATION  p1={0};
  ULONG pbisize=sizeof(PROCESS_BASIC_INFORMATION);
  ULONG pbisizeret=0;
  NtQueryInformationProcess(h1,ProcessBasicInformation,&p1,pbisize,&pbisizeret);
虽然获取的peb结构有值，但发现不对,有没有支持64位进程获取32位进程的peb结构例子呀

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (3)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼你的PROCESS_BASIC_INFORMATION要按照32位的结构写，指针都要换成ULONG32 2016-8-5 09:03 0
Liary 雪币： 3474 活跃值： (317) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	Liary 3 楼 Mark 2016-8-5 09:19 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 4 楼 wow64进程有2个PEB，ProcessBasicInformation获取到的是native层的PEB。用ProcessWow64Information获取到的PEB才是你想要的。 2016-8-5 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zazazabo

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼你的PROCESS_BASIC_INFORMATION要按照32位的结构写，指针都要换成ULONG32 2016-8-5 09:03 0
Liary 雪币： 3474 活跃值： (317) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	Liary 3 楼 Mark 2016-8-5 09:19 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 4 楼 wow64进程有2个PEB，ProcessBasicInformation获取到的是native层的PEB。用ProcessWow64Information获取到的PEB才是你想要的。 2016-8-5 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复