首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]win7-x64系统下如何获取32位进程的命令行参数
2018-11-29 16:48 3649

[求助]win7-x64系统下如何获取32位进程的命令行参数

流浪者 活跃值
2018-11-29 16:48
3649
// Peb
//
typedef struct _CURDIR
{
UNICODE_STRING DosPath;
HANDLE Handle;
} CURDIR, *PCURDIR;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
UINT32 MaximumLength;
UINT32 Length;
UINT32 Flags;
UINT32 DebugFlags;
HANDLE ConsoleHandle;
UINT32 ConsoleFlags;
HANDLE StandardInput;
HANDLE StandardOutput;
HANDLE StandardError;
CURDIR CurrentDirectory;        // ProcessParameters
UNICODE_STRING DllPath;         // ProcessParameters
UNICODE_STRING ImagePathName;   // ProcessParameters
UNICODE_STRING CommandLine;     // ProcessParameters
PVOID   Environment;
UINT32 StartingX;
UINT32 StartingY;
UINT32 CountX;
UINT32 CountY;
UINT32 CountCharsX;
UINT32 CountCharsY;
UINT32 FillAttribute;
UINT32 WindowFlags;
UINT32 ShowWindowFlags;
UNICODE_STRING WindowTitle;
UNICODE_STRING DesktopInfo;
UNICODE_STRING ShellInfo;
UNICODE_STRING RuntimeData;
UINT32 CurrentDirectores[8];
#ifdef _WIN64
UINT64  EnvironmentSize;
UINT64  EnvironmentVersion;
#endif // _WIN64

}RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;



typedef struct _PEB_LDR_DATA32
{
UINT32 Length;
UINT8 Initialized;
UINT32 SsHandle;
LIST_ENTRY32 InLoadOrderModuleList;
LIST_ENTRY32 InMemoryOrderModuleList;
LIST_ENTRY32 InInitializationOrderModuleList;
} PEB_LDR_DATA32, *PPEB_LDR_DATA32;

typedef struct _LDR_DATA_TABLE_ENTRY32
{
LIST_ENTRY32 InLoadOrderLinks;
LIST_ENTRY32 InMemoryOrderLinks;
LIST_ENTRY32 InInitializationOrderLinks;
UINT32 DllBase;
UINT32 EntryPoint;
UINT32 SizeOfImage;
UNICODE_STRING32 FullDllName;
UNICODE_STRING32 BaseDllName;
UINT32 Flags;
UINT16 LoadCount;
UINT16 TlsIndex;
LIST_ENTRY32 HashLinks;
UINT32 TimeDateStamp;
} LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;

typedef struct _PEB32
{
UINT8 InheritedAddressSpace;
UINT8 ReadImageFileExecOptions;
UINT8 BeingDebugged;
UINT8 BitField;
UINT32 Mutant;
UINT32 ImageBaseAddress;
UINT32 Ldr;
UINT32 ProcessParameters;
UINT32 SubSystemData;
UINT32 ProcessHeap;
UINT32 FastPebLock;
UINT32 AtlThunkSListPtr;
UINT32 IFEOKey;
UINT32 CrossProcessFlags;
UINT32 UserSharedInfoPtr;
UINT32 SystemReserved;
UINT32 AtlThunkSListPtr32;
UINT32 ApiSetMap;
} PEB32, *PPEB32;





typedef struct _WOW64_PROCESS {
PVOID Wow64;
} WOW64_PROCESS, *PWOW64_PROCESS;

PWOW64_PROCESS  Wow64Process = NULL;
PPEB32  Peb = NULL;
PRTL_USER_PROCESS_PARAMETERS ProcessParam = NULL;

// PPEB_LDR_DATA32  Ldr = NULL;
//PLDR_DATA_TABLE_ENTRY32  LdrDataTableEntry = NULL;
// PLDR_DATA_TABLE_ENTRY32  FoundDataTableEntry = NULL;

Wow64Process = PsGetCurrentProcessWow64Process();
if (NULL != Wow64Process)
{
DbgPrint("it is 32bit\n");

Peb = (PPEB32)&Wow64Process->Wow64;

if (NULL != Peb)
{
DbgPrint("Peb is not NULL\n");

ProcessParam = ULongToPtr(Peb->ProcessParameters);
if (NULL != ProcessParam)
{
DbgPrint("ProcessParam is not NULL\n");
DbgPrint("command:%ws\n", ProcessParam->CommandLine.Buffer);
}

// PUNICODE_STRING commandline = (PUNICODE_STRING)((UINT32)param+40);
// DbgPrint("command:%ws\n", commandline->Buffer);


}
这是我的代码,我是通过回调的方式,检测32进程启动,然后抓获进程,但是打印时从未显示正确过,跪求大神指点!

[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞0
打赏
分享
最新回复 (13)
luskyc
雪    币: 248
活跃值: (3784)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
luskyc 2018-11-29 18:50
2
0
用调试工具分析,偏移是否正确,成员是否可访问
涉及到底层的时候,结构体并不一定兼容,驱动的坑
lononan
雪    币: 9506
活跃值: (4413)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
lononan 2018-11-30 00:19
3
0
32位的UNICODE_STRING重新定义.
typedef struct _STRING32 {
    USHORT   Length;
    USHORT   MaximumLength;
    ULONG  Buffer;
} STRING32;
typedef STRING32 *PSTRING32;

typedef STRING32 UNICODE_STRING32;
流浪者
雪    币: 7
活跃值: (1251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2018-11-30 09:15
4
0
感谢lononan ,确实是这个问题。
hzqst
雪    币: 12837
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2018-11-30 10:35
5
0
32位进程不是一样有PsGetProcessPeb的吗?没事去整wow64peb干嘛。。
流浪者
雪    币: 7
活跃值: (1251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2018-11-30 11:38
6
0
@hzqst 
想获取其命令行,然后进行修改,不知道大神是否做过。
hzqst
雪    币: 12837
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2018-11-30 14:52
7
0
流浪者 @hzqst 想获取其命令行,然后进行修改,不知道大神是否做过。
进程起来之后再改peb里的没用了,纯粹骗自己
流浪者
雪    币: 7
活跃值: (1251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2018-11-30 17:20
8
0
hzqst 进程起来之后再改peb里的没用了,纯粹骗自己
可以的,64位进程我已经修改成功了,现在正研究32位的。
放学打我不
雪    币: 4006
活跃值: (596)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
放学打我不 1 2018-11-30 18:12
9
0
过来人 告诉你,这个东西没啥用,骗骗小白还是可以的,这个玩意在两年前就搞过稳定版本的,后面遗弃了,原因你后面会知道的.
hzqst
雪    币: 12837
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2018-11-30 18:54
10
0
流浪者 可以的,64位进程我已经修改成功了,现在正研究32位的。
所以你改的只是任务管理器看到的东西,到进程里调一下GetCommandLineA/W立马原形毕露
blindtiger
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
blindtiger 1 2018-11-30 20:07
11
0
用Ustr32ToUstr 先转换一下 然后用 %wZ 打印 基本功, 表哥 GetCommandLineA/W 就是从这里拿的哦
流浪者
雪    币: 7
活跃值: (1251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2018-11-30 22:37
12
0
放学打我不 过来人 告诉你,这个东西没啥用,骗骗小白还是可以的,这个玩意在两年前就搞过稳定版本的,后面遗弃了,原因你后面会知道的.
能否给个版本,给指点一二,本人刚开始研究内核驱动编写,一共不到2个月时间,实在惭愧。
流浪者
雪    币: 7
活跃值: (1251)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
流浪者 2018-11-30 22:38
13
0
小艾 用Ustr32ToUstr 先转换一下 然后用 %wZ 打印 基本功, 表哥 GetCommandLineA/W 就是从这里拿的哦[em_13]
这个问题解决了,还是32位与64位的定位问题
hzqst
雪    币: 12837
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2018-12-1 16:53
14
0
小艾 用Ustr32ToUstr 先转换一下 然后用 %wZ 打印 基本功, 表哥 GetCommandLineA/W 就是从这里拿的哦[em_13]
其他系统没看过,xp的GetCommandLineA/W都从kernel32里的某个私有变量里拿的,kernel32加载时就保存了一份
最后于 2018-12-1 16:53 被hzqst编辑 ,原因:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回