[求助]如何根据进程PID获取进程的PEB-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
caocaofff 雪币： 2989 活跃值： (2605) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 164 粉丝 2 关注私信	caocaofff 2 楼要根据进程PID获取进程的PEB，可以使用Windows API中的NtQueryInformationProcess函数。以下是使用C代码的示例： #include <windows.h> #include <stdio.h> typedef NTSTATUS(WINAPI* PNT_QUERY_INFORMATION_PROCESS)( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); void PrintLastError(DWORD error) { LPVOID lpMsgBuf; FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER \| FORMAT_MESSAGE_FROM_SYSTEM, NULL, error, MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), (LPTSTR)& lpMsgBuf, 0, NULL); printf("Error: %s", (LPCTSTR)lpMsgBuf); LocalFree(lpMsgBuf); } DWORD_PTR GetPebAddress(DWORD PID) { DWORD_PTR pebAddress = 0; HMODULE ntdll = LoadLibraryA("ntdll.dll"); PNT_QUERY_INFORMATION_PROCESS NtQueryInformationProcess = (PNT_QUERY_INFORMATION_PROCESS)GetProcAddress(ntdll, "NtQueryInformationProcess"); HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, PID); if (hProcess != NULL) { PROCESS_BASIC_INFORMATION pbi; ULONG returnLength; NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, (PVOID)& pbi, sizeof(PROCESS_BASIC_INFORMATION), & returnLength); if (status == STATUS_SUCCESS) { pebAddress = (DWORD_PTR)pbi.PebBaseAddress; } else { PrintLastError(status); } CloseHandle(hProcess); } FreeLibrary(ntdll); return pebAddress; } int main() { DWORD PID = 1234; // Replace with the PID of the process you want to query DWORD_PTR pebAddress = GetPebAddress(PID); if (pebAddress == 0) { printf("Failed to get PEB address for process %ld", PID); } else { printf("PEB address for process %ld: 0x%p", PID, (LPVOID)pebAddress); } return 0; } 在此示例中，GetPebAddress函数接受进程的PID，使用NtQueryInformationProcess函数获取进程基本信息，然后返回PEB的地址。注意确保已将Windows.h和stdio.h包含在代码中，并将PID替换为要查询的进程PID。 2023-4-19 13:35 1
R0g 雪币： 1281 活跃值： (4540) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 102 关注私信	R0g 2 3 楼 PsLookupProcessByProcessId PsGetProcessPeb/PsGetProcessWow64Process 2023-4-19 13:52 1
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 4 楼分RING3还是RING0. RING3: NtQueryInformationProcess 使用功能号 ProcessBasicInformation (1楼AI回答还是准确的) RING0: PsGetProcessPeb(驱动如果是32位,那么获取的PEB就是32位的,驱动如果是64位,那么获取的PEB就是64位的) 如何在64位驱动下获取32位进程PEB. 需要使用API PsGetProcessWow64Process 最后于 2023-4-19 17:00 被TkBinary编辑，原因： 2023-4-19 16:59 1
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼经典AI答题 2023-4-19 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
caocaofff 雪币： 2989 活跃值： (2605) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 164 粉丝 2 关注私信	caocaofff 2 楼要根据进程PID获取进程的PEB，可以使用Windows API中的NtQueryInformationProcess函数。以下是使用C代码的示例： #include <windows.h> #include <stdio.h> typedef NTSTATUS(WINAPI* PNT_QUERY_INFORMATION_PROCESS)( HANDLE ProcessHandle, PROCESSINFOCLASS ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); void PrintLastError(DWORD error) { LPVOID lpMsgBuf; FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER \| FORMAT_MESSAGE_FROM_SYSTEM, NULL, error, MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), (LPTSTR)& lpMsgBuf, 0, NULL); printf("Error: %s", (LPCTSTR)lpMsgBuf); LocalFree(lpMsgBuf); } DWORD_PTR GetPebAddress(DWORD PID) { DWORD_PTR pebAddress = 0; HMODULE ntdll = LoadLibraryA("ntdll.dll"); PNT_QUERY_INFORMATION_PROCESS NtQueryInformationProcess = (PNT_QUERY_INFORMATION_PROCESS)GetProcAddress(ntdll, "NtQueryInformationProcess"); HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION \| PROCESS_VM_READ, FALSE, PID); if (hProcess != NULL) { PROCESS_BASIC_INFORMATION pbi; ULONG returnLength; NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, (PVOID)& pbi, sizeof(PROCESS_BASIC_INFORMATION), & returnLength); if (status == STATUS_SUCCESS) { pebAddress = (DWORD_PTR)pbi.PebBaseAddress; } else { PrintLastError(status); } CloseHandle(hProcess); } FreeLibrary(ntdll); return pebAddress; } int main() { DWORD PID = 1234; // Replace with the PID of the process you want to query DWORD_PTR pebAddress = GetPebAddress(PID); if (pebAddress == 0) { printf("Failed to get PEB address for process %ld", PID); } else { printf("PEB address for process %ld: 0x%p", PID, (LPVOID)pebAddress); } return 0; } 在此示例中，GetPebAddress函数接受进程的PID，使用NtQueryInformationProcess函数获取进程基本信息，然后返回PEB的地址。注意确保已将Windows.h和stdio.h包含在代码中，并将PID替换为要查询的进程PID。 2023-4-19 13:35 1
R0g 雪币： 1281 活跃值： (4540) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 129 粉丝 102 关注私信	R0g 2 3 楼 PsLookupProcessByProcessId PsGetProcessPeb/PsGetProcessWow64Process 2023-4-19 13:52 1
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 4 楼分RING3还是RING0. RING3: NtQueryInformationProcess 使用功能号 ProcessBasicInformation (1楼AI回答还是准确的) RING0: PsGetProcessPeb(驱动如果是32位,那么获取的PEB就是32位的,驱动如果是64位,那么获取的PEB就是64位的) 如何在64位驱动下获取32位进程PEB. 需要使用API PsGetProcessWow64Process 最后于 2023-4-19 17:00 被TkBinary编辑，原因： 2023-4-19 16:59 1
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼经典AI答题 2023-4-19 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复