首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
通过PspCidTable枚举到了_EPROCESS结构,如何获取其PEB的内容?
发表于: 2009-9-21 01:24 8319

通过PspCidTable枚举到了_EPROCESS结构,如何获取其PEB的内容?

mcsdpy 活跃值
2009-9-21 01:24
8319
如题,我通过枚举PspCidTable获取了_EPROCESS,地址为82529da0

kd> dt _EPROCESS 82529da0
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER 0x1ca3a0d`1a05ede4
   +0x078 ExitTime         : _LARGE_INTEGER 0x0
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : 0x000007e4
   +0x088 ActiveProcessLinks : _LIST_ENTRY [ 0x824ff680 - 0x8209b2b0 ]
   +0x090 QuotaUsage       : [3] 0xf50
   +0x09c QuotaPeak        : [3] 0x1b88
   +0x0a8 CommitCharge     : 0x1bd
   +0x0ac PeakVirtualSize  : 0x253c000
   +0x0b0 VirtualSize      : 0x253c000
   +0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0x824ff6ac - 0x8209b2dc ]
   +0x0bc DebugPort        : (null)
   +0x0c0 ExceptionPort    : 0xe1445418
   +0x0c4 ObjectTable      : 0xe162b188 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : 0xdbf9
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : 0
   +0x114 ForkInProgress   : (null)
   +0x118 HardwareTrigger  : 0
   +0x11c VadRoot          : 0x8220e3c0
   +0x120 VadHint          : 0x8208cef0
   +0x124 CloneRoot        : (null)
   +0x128 NumberOfPrivatePages : 0x115
   +0x12c NumberOfLockedPages : 0
   +0x130 Win32Process     : 0xe1ff1008
   +0x134 Job              : (null)
   +0x138 SectionObject    : 0xe1ad6f28
   +0x13c SectionBaseAddress : 0x00400000
   +0x140 QuotaBlock       : 0x8055a300 _EPROCESS_QUOTA_BLOCK
   +0x144 WorkingSetWatch  : (null)
   +0x148 Win32WindowStation : 0x00000030
   +0x14c InheritedFromUniqueProcessId : 0x000002a4
   +0x150 LdtInformation   : (null)
   +0x154 VadFreeHint      : (null)
   +0x158 VdmObjects       : (null)
   +0x15c DeviceMap        : 0xe1004440
   +0x160 PhysicalVadList  : _LIST_ENTRY [ 0x82529f00 - 0x82529f00 ]
   +0x168 PageDirectoryPte : _HARDWARE_PTE_X86
   +0x168 Filler           : 0
   +0x170 Session          : 0xf8bf4000
   +0x174 ImageFileName    : [16]  "VMwareService.e"
   +0x184 JobLinks         : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x18c LockedPagesList  : (null)
   +0x190 ThreadListHead   : _LIST_ENTRY [ 0x8238cfd4 - 0x81feefd4 ]
   +0x198 SecurityPort     : (null)
   +0x19c PaeTop           : 0xf8d19120
   +0x1a0 ActiveThreads    : 3
   +0x1a4 GrantedAccess    : 0x1f0fff
   +0x1a8 DefaultHardErrorProcessing : 4
   +0x1ac LastThreadExitStatus : 0
   +0x1b0 Peb              : 0x7ffdd000 _PEB
   +0x1b4 PrefetchTrace    : _EX_FAST_REF
   +0x1b8 ReadOperationCount : _LARGE_INTEGER 0x6
   +0x1c0 WriteOperationCount : _LARGE_INTEGER 0x3
   +0x1c8 OtherOperationCount : _LARGE_INTEGER 0x1b2
   +0x1d0 ReadTransferCount : _LARGE_INTEGER 0x212a1
   +0x1d8 WriteTransferCount : _LARGE_INTEGER 0x1a5
   +0x1e0 OtherTransferCount : _LARGE_INTEGER 0x4519
   +0x1e8 CommitChargeLimit : 0
   +0x1ec CommitChargePeak : 0x1f6
   +0x1f0 AweInfo          : (null)
   +0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO
   +0x1f8 Vm               : _MMSUPPORT
   +0x238 LastFaultCount   : 0
   +0x23c ModifiedPageCount : 0x49
   +0x240 NumberOfVads     : 0x4c
   +0x244 JobStatus        : 0
   +0x248 Flags            : 0xd0800
   +0x248 CreateReported   : 0y0
   +0x248 NoDebugInherit   : 0y0
   +0x248 ProcessExiting   : 0y0
   +0x248 ProcessDelete    : 0y0
   +0x248 Wow64SplitPages  : 0y0
   +0x248 VmDeleted        : 0y0
   +0x248 OutswapEnabled   : 0y0
   +0x248 Outswapped       : 0y0
   +0x248 ForkFailed       : 0y0
   +0x248 HasPhysicalVad   : 0y0
   +0x248 AddressSpaceInitialized : 0y10
   +0x248 SetTimerResolution : 0y0
   +0x248 BreakOnTermination : 0y0
   +0x248 SessionCreationUnderway : 0y0
   +0x248 WriteWatch       : 0y0
   +0x248 ProcessInSession : 0y1
   +0x248 OverrideAddressSpace : 0y0
   +0x248 HasAddressSpace  : 0y1
   +0x248 LaunchPrefetched : 0y1
   +0x248 InjectInpageErrors : 0y0
   +0x248 VmTopDown        : 0y0
   +0x248 Unused3          : 0y0
   +0x248 Unused4          : 0y0
   +0x248 VdmAllowed       : 0y0
   +0x248 Unused           : 0y00000 (0)
   +0x248 Unused1          : 0y0
   +0x248 Unused2          : 0y0
   +0x24c ExitStatus       : 259
   +0x250 NextPageColor    : 0x59a9
   +0x252 SubSystemMinorVersion : 0 ''
   +0x253 SubSystemMajorVersion : 0x4 ''
   +0x252 SubSystemVersion : 0x400
   +0x254 PriorityClass    : 0x3 ''
   +0x255 WorkingSetAcquiredUnsafe : 0 ''
   +0x258 Cookie           : 0x1bddfcde

于是读取PEB
kd> dd 0x7ffdd000
7ffdd000  ???????? ???????? ???????? ????????
7ffdd010  ???????? ???????? ???????? ????????
7ffdd020  ???????? ???????? ???????? ????????
7ffdd030  ???????? ???????? ???????? ????????
7ffdd040  ???????? ???????? ???????? ????????
7ffdd050  ???????? ???????? ???????? ????????
7ffdd060  ???????? ???????? ???????? ????????
7ffdd070  ???????? ???????? ???????? ????????
发现PEB地址0x7ffdd000内容无法读取,请问如何才能获取到PEB内容?

[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费
支持
分享
最新回复 (6)
mcsdpy
雪    币: 203
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
0x7ffdd000是否为用户空间地址?内核空间如何才能获取该地址内容?
2009-9-21 01:26
0
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
3
.process /p 82529da0
dt _PEB 0x7ffdd000

程序实现的话,KeStackAttachProcess.
2009-9-21 03:42
0
SIsIa
雪    币: 270
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
楼上是自愿加班的。。。
2009-9-21 06:59
0
mcsdpy
雪    币: 203
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢qihoocom,我知道程序如何读取,但不知道windbg如何读取,呵呵
2009-9-21 09:50
0
竹君
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
6
是用户空间 要attach上
2009-9-21 11:21
0
xacker
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
用WINDBG  自己的进程对象  就可以读自己的PEB 信息了
2009-9-22 16:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》