设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 技巧探讨 PEB TIB TEB结构展示
返回列表 发新帖
查看: 4385|回复: 3

PEB TIB TEB结构展示

[复制链接]
元始天尊
发表于 2015-5-2 12:50:48 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
丛看雪看到这3个结构体的,fs:[0]的地址位置就是TEB  ,TIB是TEB的第一个成员,TEB的0x30处指向PEB。
这里有个问题没想明白,如何从PEB枚举所有TEB呢?
代码如下:
  1. #define EXCEPTION_MAXIMUM_PARAMETERS 15 // maximum number of exception parameters
  2. typedef unsigned int DWORD;
  3. typedef unsigned long ULONG;
  4. typedef short SHORT;
  5. typedef unsigned short WORD;
  6. typedef unsigned short USHORT;
  7. typedef void* PVOID;
  8. typedef PVOID* PPVOID;
  9. typedef unsigned char UCHAR;
  10. typedef unsigned char BYTE;
  11. typedef long LONG;
  12. typedef unsigned short WCHAR;
  13. typedef char CHAR;
  14. typedef __int64 LONGLONG;
  15. typedef unsigned __int64 ULONGLONG;
  16. typedef WCHAR *PWCHAR, *LPWCH, *PWCH;
  17. typedef CHAR *PCHAR, *LPCH, *PCH;

  19. typedef unsigned short UINT16;
  20. typedef unsigned int UINT32;
  21. typedef unsigned __int64 UINT64;
  22. typedef short INT16;
  23. typedef int INT32;
  24. typedef __int64 INT64;

  26. #if !defined(_W64)
  27. #if !defined(__midl) && (defined(_X86_) || defined(_M_IX86)) && _MSC_VER >= 1300
  28. #define _W64 __w64
  29. #else
  30. #define _W64
  31. #endif
  32. #endif

  34. #if ( 501 < __midl )

  36. typedef[public] __int3264 INT_PTR, *PINT_PTR;
  37. typedef[public] unsigned __int3264 UINT_PTR, *PUINT_PTR;

  39. typedef[public] __int3264 LONG_PTR, *PLONG_PTR;
  40. typedef[public] unsigned __int3264 ULONG_PTR, *PULONG_PTR;

  42. #else  // midl64
  43. // old midl and C++ compiler

  45. #if defined(_WIN64)
  46. typedef __int64 INT_PTR, *PINT_PTR;
  47. typedef unsigned __int64 UINT_PTR, *PUINT_PTR;

  49. typedef __int64 LONG_PTR, *PLONG_PTR;
  50. typedef unsigned __int64 ULONG_PTR, *PULONG_PTR;

  52. #define __int3264   __int64

  54. #else
  55. typedef _W64 int INT_PTR, *PINT_PTR;
  56. typedef _W64 unsigned int UINT_PTR, *PUINT_PTR;

  58. typedef _W64 long LONG_PTR, *PLONG_PTR;
  59. typedef _W64 unsigned long ULONG_PTR, *PULONG_PTR;

  61. #define __int3264   __int32

  63. #endif
  64. #endif // midl64

  66. #ifdef STRICT
  67. typedef void *HANDLE;
  68. #if 0 && (_MSC_VER > 1000)
  69. #define DECLARE_HANDLE(name) struct name##__; typedef struct name##__ *name
  70. #else
  71. #define DECLARE_HANDLE(name) struct name##__{int unused;}; typedef struct name##__ *name
  72. #endif
  73. #else
  74. typedef PVOID HANDLE;
  75. #define DECLARE_HANDLE(name) typedef HANDLE name
  76. #endif
  77. typedef HANDLE *PHANDLE;

  79. #if defined(MIDL_PASS)
  80. typedef struct _LARGE_INTEGER
  81. {
  82. #else // MIDL_PASS
  83. typedef union _LARGE_INTEGER
  84. {
  85.         struct
  86.         {
  87.                 DWORD LowPart;
  88.                 LONG HighPart;
  89.         } DUMMYSTRUCTNAME;
  90.         struct
  91.         {
  92.                 DWORD LowPart;
  93.                 LONG HighPart;
  94.         } u;
  95. #endif //MIDL_PASS
  96.         LONGLONG QuadPart;
  97. } LARGE_INTEGER;

  99. #if defined(MIDL_PASS)
  100. typedef struct _ULARGE_INTEGER
  101. {
  102. #else // MIDL_PASS
  103. typedef union _ULARGE_INTEGER
  104. {
  105.         struct
  106.         {
  107.                 DWORD LowPart;
  108.                 DWORD HighPart;
  109.         } DUMMYSTRUCTNAME;
  110.         struct
  111.         {
  112.                 DWORD LowPart;
  113.                 DWORD HighPart;
  114.         } u;
  115. #endif //MIDL_PASS
  116.         ULONGLONG QuadPart;
  117. } ULARGE_INTEGER;

  119. #ifndef GUID_DEFINED
  120. #define GUID_DEFINED
  121. #if defined(__midl)
  122. typedef struct
  123. {
  124.         unsigned long  Data1;
  125.         unsigned short Data2;
  126.         unsigned short Data3;
  127.         byte           Data4[8];
  128. } GUID;
  129. #else
  130. typedef struct _GUID
  131. {
  132.         unsigned long  Data1;
  133.         unsigned short Data2;
  134.         unsigned short Data3;
  135.         unsigned char  Data4[8];
  136. } GUID;
  137. #endif
  138. #endif

  140. typedef enum _EXCEPTION_DISPOSITION
  141. {
  142.         ExceptionContinueExecution,
  143.         ExceptionContinueSearch,
  144.         ExceptionNestedException,
  145.         ExceptionCollidedUnwind
  146. } EXCEPTION_DISPOSITION, *PEXCEPTION_DISPOSITION;

  148. typedef struct _EXCEPTION_RECORD
  149. {
  150.         DWORD ExceptionCode;
  151.         DWORD ExceptionFlags;
  152.         struct _EXCEPTION_RECORD *ExceptionRecord;
  153.         PVOID ExceptionAddress;
  154.         DWORD NumberParameters;
  155.         ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
  156. } EXCEPTION_RECORD, *PEXCEPTION_RECORD;

  158. typedef EXCEPTION_DISPOSITION __stdcall EXCEPTION_ROUTINE(struct _EXCEPTION_RECORD *ExceptionRecord,
  159.         PVOID EstablisherFrame, struct _CONTEXT *ContextRecord, PVOID DispatcherContext);

  161. typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;

  163. typedef struct _EXCEPTION_REGISTRATION_RECORD
  164. {
  165.         struct _EXCEPTION_REGISTRATION_RECORD *Next;
  166.         PEXCEPTION_ROUTINE Handler;
  167. } EXCEPTION_REGISTRATION_RECORD, *PEXCEPTION_REGISTRATION_RECORD;

  169. typedef struct _NT_TIB
  170. {
  171.         struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;
  172.         PVOID StackBase;
  173.         PVOID StackLimit;
  174.         PVOID SubSystemTib;
  175. #if defined(_MSC_EXTENSIONS)
  176.         union
  177.         {
  178.                 PVOID FiberData;
  179.                 DWORD Version;
  180.         };
  181. #else
  182.         PVOID FiberData;
  183. #endif
  184.         PVOID ArbitraryUserPointer;
  185.         struct _NT_TIB *Self;
  186. } NT_TIB, *PNT_TIB;

  188. typedef struct _CLIENT_ID
  189. {
  190.         HANDLE UniqueProcess;
  191.         HANDLE UniqueThread;
  192. } CLIENT_ID, *PCLIENT_ID;

  194. typedef struct _LIST_ENTRY
  195. {
  196.         struct _LIST_ENTRY *Flink;
  197.         struct _LIST_ENTRY *Blink;
  198. } LIST_ENTRY, *PLIST_ENTRY, *PRLIST_ENTRY;

  200. typedef struct _UNICODE_STRING
  201. {
  202.         USHORT Length;
  203.         USHORT MaximumLength;
  204. #ifdef MIDL_PASS
  205.         [size_is(MaximumLength / 2), length_is((Length) / 2)] USHORT * Buffer;
  206. #else // MIDL_PASS
  207.         PWCH   Buffer;
  208. #endif // MIDL_PASS
  209. } UNICODE_STRING;
  210. typedef UNICODE_STRING *PUNICODE_STRING;
  211. typedef const UNICODE_STRING *PCUNICODE_STRING;

  213. typedef struct _RTL_CRITICAL_SECTION_DEBUG
  214. {
  215.         WORD   Type;
  216.         WORD   CreatorBackTraceIndex;
  217.         struct _RTL_CRITICAL_SECTION *CriticalSection;
  218.         LIST_ENTRY ProcessLocksList;
  219.         DWORD EntryCount;
  220.         DWORD ContentionCount;
  221.         DWORD Flags;
  222.         WORD   CreatorBackTraceIndexHigh;
  223.         WORD   SpareWORD;
  224. } RTL_CRITICAL_SECTION_DEBUG, *PRTL_CRITICAL_SECTION_DEBUG, RTL_RESOURCE_DEBUG, *PRTL_RESOURCE_DEBUG;

  226. #pragma pack(push, 8)
  227. typedef struct _RTL_CRITICAL_SECTION
  228. {
  229.         PRTL_CRITICAL_SECTION_DEBUG DebugInfo;
  230.         LONG LockCount;
  231.         LONG RecursionCount;
  232.         HANDLE OwningThread;        // from the thread's ClientId->UniqueThread
  233.         HANDLE LockSemaphore;
  234.         ULONG_PTR SpinCount;        // force size on 64-bit systems when packed
  235. } RTL_CRITICAL_SECTION, *PRTL_CRITICAL_SECTION;
  236. #pragma pack(pop)

  238. typedef struct _PEB_LDR_DATA
  239. {
  240.         UINT32 Length;
  241.         UCHAR Initialized;
  242.         PVOID SsHandle;
  243.         _LIST_ENTRY InLoadOrderModuleList;
  244.         _LIST_ENTRY InMemoryOrderModuleList;
  245.         _LIST_ENTRY InInitializationOrderModuleList;
  246.         PVOID EntryInProgress;
  247.         UCHAR ShutdownInProgress;
  248.         PVOID ShutdownThreadId;
  249. }PEB_LDR_DATA, *PPEB_LDR_DATA;

  251. typedef struct _LDR_MODULE
  252. {
  253.         LIST_ENTRY        InLoadOrderModuleList;            // +0x000
  254.         LIST_ENTRY        InMemoryOrderModuleList;          // +0x008
  255.         LIST_ENTRY        InInitializationOrderModuleList;  // +0x010
  256.         PVOID             BaseAddress;                      // +0x018
  257.         PVOID             EntryPoint;                       // +0x01C
  258.         ULONG             SizeOfImage;                      // +0x020
  259.         UNICODE_STRING    FullDllName;                      // +0x024
  260.         UNICODE_STRING    BaseDllName;                      // +0x02C
  261.         ULONG             Flags;                            // +0x034
  262.         SHORT             LoadCount;                        // +0x038
  263.         SHORT             TlsIndex;                         // +0x03A
  264.         LIST_ENTRY        HashTableEntry;                   // +0x03C
  265.         ULONG             TimeDateStamp;                    // +0x044
  266.         // +0x048
  267. } LDR_MODULE, *PLDR_MODULE;

  269. typedef struct _CURDIR
  270. {
  271.         _UNICODE_STRING DosPath;
  272.         PVOID Handle;
  273. }CURDIR, *PCURDIR;

  275. typedef struct _STRING
  276. {
  277.         USHORT Length;
  278.         USHORT MaximumLength;
  279. #ifdef MIDL_PASS
  280.         [size_is(MaximumLength), length_is(Length)]
  281. #endif // MIDL_PASS
  282.         PCHAR Buffer;
  283. } STRING;
  284. typedef STRING *PSTRING;
  285. typedef STRING ANSI_STRING;
  286. typedef PSTRING PANSI_STRING;

  288. typedef struct RTL_DRIVE_LETTER_CURDIR
  289. {
  290.         UINT16 Flags;
  291.         UINT16 Length;
  292.         UINT32 TimeStamp;
  293.         _STRING DosPath;
  294. }RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;

  296. typedef struct _RTL_USER_PROCESS_PARAMETERS
  297. {
  298.         UINT32 MaximumLength;
  299.         UINT32 Length;
  300.         UINT32 Flags;
  301.         UINT32 DebugFlags;
  302.         PVOID ConsoleHandle;
  303.         UINT32 ConsoleFlags;
  304.         PVOID StandardInput;
  305.         PVOID StandardOutput;
  306.         PVOID StandardError;
  307.         _CURDIR CurrentDirectory;
  308.         _UNICODE_STRING DllPath;
  309.         _UNICODE_STRING ImagePathName;
  310.         _UNICODE_STRING CommandLine;
  311.         PVOID Environment;
  312.         UINT32 StartingX;
  313.         UINT32 StartingY;
  314.         UINT32 CountX;
  315.         UINT32 CountY;
  316.         UINT32 CountCharsX;
  317.         UINT32 CountCharsY;
  318.         UINT32 FillAttribute;
  319.         UINT32 WindowFlags;
  320.         UINT32 ShowWindowFlags;
  321.         _UNICODE_STRING WindowTitle;
  322.         _UNICODE_STRING DesktopInfo;
  323.         _UNICODE_STRING ShellInfo;
  324.         _UNICODE_STRING RuntimeData;
  325.         RTL_DRIVE_LETTER_CURDIR CurrentDirectores[32];
  326.         UINT64 EnvironmentSize;
  327.         UINT64 EnvironmentVersion;
  328.         PVOID PackageDependencyData;
  329.         UINT32 ProcessGroupId;
  330. }RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

  332. #pragma pack(push, 1)
  333. typedef struct _PEB
  334. {
  335.         UCHAR InheritedAddressSpace;
  336.         UCHAR ReadImageFileExecOptions;
  337.         UCHAR BeingDebugged;
  338.         //UCHAR BitField
  339.         BYTE ImageUsesLargePages : 1;
  340.         BYTE IsProtectedProcess : 1;
  341.         BYTE IsImageDynamicallyRelocated : 1;
  342.         BYTE SkipPatchingUser32Forwarders : 1;
  343.         BYTE IsPackagedProcess : 1;
  344.         BYTE IsAppContainer : 1;
  345.         BYTE IsProtectedProcessLight : 1;
  346.         BYTE SpareBits : 1;
  347.         PVOID Mutant;
  348.         PVOID ImageBaseAddress;
  349.         PPEB_LDR_DATA Ldr;
  350.         PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
  351.         PVOID SubSystemData;
  352.         PVOID ProcessHeap;
  353.         PRTL_CRITICAL_SECTION FastPebLock;
  354.         PVOID AtlThunkSListPtr;
  355.         PVOID IFEOKey;
  356.         UINT32 CrossProcessFlags;
  357.         unsigned ProcessInJob : 1;
  358.         unsigned ProcessInitializing : 1;
  359.         unsigned ProcessUsingVEH : 1;
  360.         unsigned ProcessUsingVCH : 1;
  361.         unsigned ProcessUsingFTH : 1;
  362.         unsigned ReservedBits0 : 27;
  363.         PVOID KernelCallbackTable;
  364.         PVOID UserSharedInfoPtr;
  365.         UINT32 SystemReserved;
  366.         UINT32 AtlThunkSListPtr32;
  367.         UINT32 ApiSetMap;
  368.         UINT32 TlsExpansionCounter;
  369.         UINT32 TlsBitmap;
  370.         UINT32 TlsBitmapBits[2];
  371.         PVOID ReadOnlySharedMemoryBase;
  372.         PVOID HotpatchInformation;
  373.         PVOID ReadOnlyStaticServerData;
  374.         PVOID AnsiCodePageData;
  375.         PVOID OemCodePageData;
  376.         PVOID UnicodeCaseTableData;
  377.         UINT32 NumberOfProcessors;
  378.         UINT32 NtGlobalFlag;
  379.         _LARGE_INTEGER CriticalSectionTimeout;
  380.         UINT32 HeapSegmentReserve;
  381.         UINT32 HeapSegmentCommit;
  382.         UINT32 HeapDeCommitTotalFreeThreshold;
  383.         UINT32 HeapDeCommitFreeBlockThreshold;
  384.         UINT32 NumberOfHeaps;
  385.         UINT32 MaximumNumberOfHeaps;
  386.         PPVOID ProcessHeaps;
  387.         PVOID GdiSharedHandleTable;
  388.         PVOID ProcessStarterHelper;
  389.         UINT32 GdiDCAttributeList;
  390.         PRTL_CRITICAL_SECTION LoaderLock;
  391.         UINT32 OSMajorVersion;
  392.         UINT32 OSMinorVersion;
  393.         UINT16 OSBuildNumber;
  394.         UINT16 OSCSDVersion;
  395.         UINT32 OSPlatformId;
  396.         UINT32 ImageSubsystem;
  397.         UINT32 ImageSubsystemMajorVersion;
  398.         UINT32 ImageSubsystemMinorVersion;
  399.         UINT32 ActiveProcessAffinityMask;
  400.         UINT32 GdiHandleBuffer[34];
  401.         PVOID PostProcessInitRoutine;
  402.         PVOID TlsExpansionBitmap;
  403.         PVOID TlsExpansionBitmapBits[32];
  404.         UINT32 SessionId;
  405.         _ULARGE_INTEGER AppCompatFlags;
  406.         _ULARGE_INTEGER AppCompatFlagsUser;
  407.         PVOID pShimData;
  408.         PVOID AppCompatInfo;
  409.         _UNICODE_STRING CSDVersion;
  410.         PVOID ActivationContextData;
  411.         PVOID ProcessAssemblyStorageMap;
  412.         PVOID SystemDefaultActivationContextData;
  413.         PVOID SystemAssemblyStorageMap;
  414.         UINT32 MinimumStackCommit;
  415. }PEB, *PPEB;
  416. #pragma pop

  418. typedef struct _GDI_TEB_BATCH
  419. {
  420.         unsigned Offset : 31;
  421.         unsigned HasRenderingCommand : 1;
  422.         UINT64 HDC;
  423.         UINT32 Buffer[310];
  424. }GDI_TEB_BATCH, *PGDI_TEB_BATCH;

  426. typedef struct _PROCESSOR_NUMBER
  427. {
  428.         WORD   Group;
  429.         BYTE  Number;
  430.         BYTE  Reserved;
  431. } PROCESSOR_NUMBER, *PPROCESSOR_NUMBER;

  433. typedef struct _TEB_ACTIVE_FRAME_CONTEXT
  434. {
  435.         UINT32 Flags;
  436.         PCHAR FrameName;
  437. }TEB_ACTIVE_FRAME_CONTEXT, *PTEB_ACTIVE_FRAME_CONTEXT;

  439. typedef struct _TEB_ACTIVE_FRAME
  440. {
  441.         UINT32 Flags;
  442.         _TEB_ACTIVE_FRAME* Previous;
  443.         PTEB_ACTIVE_FRAME_CONTEXT Context;
  444. }TEB_ACTIVE_FRAME, *PTEB_ACTIVE_FRAME;

  446. typedef struct _TEB
  447. {
  448.         _NT_TIB NtTib;
  449.         PVOID EnvironmentPointer;
  450.         _CLIENT_ID ClientId;
  451.         PVOID ActiveRpcHandle;
  452.         PVOID ThreadLocalStoragePointer;
  453.         PPEB ProcessEnvironmentBlock;
  454.         UINT32 LastErrorValue;
  455.         UINT32 CountOfOwnedCriticalSections;
  456.         PVOID CsrClientThread;
  457.         PVOID Win32ThreadInfo;
  458.         UINT32 User32Reserved[26];
  459.         UINT32 UserReserved[5];
  460.         PVOID WOW32Reserved;
  461.         UINT32 CurrentLocale;
  462.         UINT32 FpSoftwareStatusRegister;
  463.         PVOID SystemReserved1[54];
  464.         INT32 ExceptionCode;
  465.         PVOID ActivationContextStackPointer;
  466.         UCHAR SpareBytes[36];
  467.         UINT32 TxFsContext;
  468.         _GDI_TEB_BATCH GdiTebBatch;
  469.         _CLIENT_ID RealClientId;
  470.         PVOID GdiCachedProcessHandle;
  471.         UINT32 GdiClientPID;
  472.         UINT32 GdiClientTID;
  473.         PVOID GdiThreadLocalInfo;
  474.         UINT32 Win32ClientInfo[62];
  475.         PVOID glDispatchTable[233];
  476.         UINT32 glReserved1[29];
  477.         PVOID glReserved2;
  478.         PVOID glSectionInfo;
  479.         PVOID glSection;
  480.         PVOID glTable;
  481.         PVOID glCurrentRC;
  482.         PVOID glContext;
  483.         UINT32 LastStatusValue;
  484.         _UNICODE_STRING StaticUnicodeString;
  485.         WCHAR StaticUnicodeBuffer[261];
  486.         PVOID DeallocationStack;
  487.         PVOID TlsSlots[64];
  488.         _LIST_ENTRY TlsLinks;
  489.         PVOID Vdm;
  490.         PVOID ReservedForNtRpc;
  491.         PVOID DbgSsReserved[2];
  492.         UINT32 HardErrorMode;
  493.         PVOID Instrumentation[9];
  494.         _GUID ActivityId;
  495.         PVOID SubProcessTag;
  496.         PVOID EtwLocalData;
  497.         PVOID EtwTraceData;
  498.         PVOID WinSockData;
  499.         UINT32 GdiBatchCount;
  500.         _PROCESSOR_NUMBER CurrentIdealProcessor;
  501.         UINT32 IdealProcessorValue;
  502.         UCHAR ReservedPad0;
  503.         UCHAR ReservedPad1;
  504.         UCHAR ReservedPad2;
  505.         UCHAR IdealProcessor;
  506.         UINT32 GuaranteedStackBytes;
  507.         PVOID ReservedForPerf;
  508.         PVOID ReservedForOle;
  509.         UINT32 WaitingOnLoaderLock;
  510.         PVOID SavedPriorityState;
  511.         UINT32 SoftPatchPtr1;
  512.         PVOID ThreadPoolData;
  513.         PPVOID TlsExpansionSlots;
  514.         UINT32 MuiGeneration;
  515.         UINT32 IsImpersonating;
  516.         PVOID NlsCache;
  517.         PVOID pShimData;
  518.         UINT32 HeapVirtualAffinity;
  519.         PVOID CurrentTransactionHandle;
  520.         PTEB_ACTIVE_FRAME ActiveFrame;
  521. }TEB, *PTEB;

  523. #include <iostream>
  524. using namespace std;
  525. #define printsegdec(x) cout<<dec<<"\t"###x##":"<<x<<endl
  526. #define printseghex(x) cout<<hex<<"\t"###x##":"<<x<<endl
  527. #define printsegwstr(x) if(x) wcout<<dec<<"\t"###x##":"<<(wchar_t*)x<<endl

  529. void main()
  530. {
  531.         PTEB pteb = 0;
  532.         _asm
  533.         {
  534.                 mov eax, dword ptr fs : [0x18];
  535.                 mov pteb, eax;
  536.         };
  537.         cout << hex << "TEB address:" << pteb << endl;
  538.         printseghex(pteb->EnvironmentPointer);
  539.         printsegdec(pteb->ClientId.UniqueProcess);
  540.         printsegdec(pteb->ClientId.UniqueThread);
  541.         printsegdec(pteb->ThreadLocalStoragePointer);
  542.         printseghex(pteb->ActiveRpcHandle);
  543.         printsegdec(pteb->LastErrorValue);
  544.         printsegdec(pteb->CountOfOwnedCriticalSections);
  545.         printseghex(pteb->CurrentLocale);
  546.         printsegdec(pteb->LastStatusValue);
  547.         cout << endl;
  548.         //打印TIB
  549.         NT_TIB& ptib = pteb->NtTib;
  550.         EXCEPTION_REGISTRATION_RECORD* perr = ptib.ExceptionList;
  551.         printseghex(ptib.StackBase);
  552.         printseghex(ptib.StackLimit);
  553.         while (perr != (EXCEPTION_REGISTRATION_RECORD*)-1)
  554.         {
  555.                 printseghex(perr->Next);
  556.                 printseghex(perr->Handler);
  557.                 perr = perr->Next;
  558.         }
  559.         cout << endl;
  560.         //打印PEB
  561.         cout << hex << "PEB address:" << pteb->ProcessEnvironmentBlock << endl;
  562.         PPEB ppeb= pteb->ProcessEnvironmentBlock;
  563.         printsegdec((int)ppeb->InheritedAddressSpace);
  564.         printsegdec((int)ppeb->ReadImageFileExecOptions);
  565.         printsegdec((int)ppeb->BeingDebugged);
  566.         printsegdec((int)ppeb->ImageUsesLargePages);
  567.         printsegdec((int)ppeb->IsProtectedProcess);
  568.         printsegdec((int)ppeb->IsImageDynamicallyRelocated);
  569.         printsegdec((int)ppeb->SkipPatchingUser32Forwarders);
  570.         printsegdec((int)ppeb->IsPackagedProcess);
  571.         printsegdec((int)ppeb->IsAppContainer);
  572.         printsegdec((int)ppeb->IsProtectedProcessLight);
  573.         printsegdec((int)ppeb->SpareBits);
  574.         printseghex(ppeb->ImageBaseAddress);
  575.         printseghex(ppeb->ProcessHeap);
  576.         printsegdec(ppeb->NumberOfProcessors);
  577.         printseghex(ppeb->NtGlobalFlag);
  578.         printseghex(ppeb->HeapSegmentReserve);
  579.         printseghex(ppeb->HeapSegmentCommit);
  580.         printseghex(ppeb->HeapDeCommitTotalFreeThreshold);
  581.         printseghex(ppeb->HeapDeCommitFreeBlockThreshold);
  582.         printsegdec(ppeb->NumberOfHeaps);
  583.         printsegdec(ppeb->MaximumNumberOfHeaps);
  584.         printseghex(ppeb->ProcessHeaps);
  585.         printsegdec(ppeb->OSMajorVersion);
  586.         printsegdec(ppeb->OSMinorVersion);
  587.         printsegdec(ppeb->OSBuildNumber);
  588.         printsegdec(ppeb->OSPlatformId);
  589.         printsegdec(ppeb->ImageSubsystem);
  590.         printsegdec(ppeb->ImageSubsystemMajorVersion);
  591.         printsegdec(ppeb->ImageSubsystemMinorVersion);
  592.         printsegdec(ppeb->SessionId);
  593.         cout << endl;

  595.         printseghex(ppeb->Ldr);
  596.         printsegdec(ppeb->Ldr->Length);
  597.         PLDR_MODULE plm1 = (PLDR_MODULE)ppeb->Ldr->InLoadOrderModuleList.Flink;
  598.         cout << "LoadOrder:" << endl;
  599.         do
  600.         {
  601.                 printseghex(plm1->BaseAddress);
  602.                 printseghex(plm1->EntryPoint);
  603.                 printsegdec(plm1->SizeOfImage);
  604.                 printsegwstr(plm1->FullDllName.Buffer);
  605.                 printsegwstr(plm1->BaseDllName.Buffer);
  606.                 printseghex(plm1->Flags);
  607.                 printsegdec(plm1->LoadCount);
  608.                 printsegdec(plm1->TlsIndex);
  609.                 plm1 = (PLDR_MODULE)plm1->InLoadOrderModuleList.Flink;
  610.         } while (plm1 != (PLDR_MODULE)ppeb->Ldr->InLoadOrderModuleList.Flink);

  612.         cout << endl;
  613.         printseghex(ppeb->ProcessParameters);
  614.         printsegdec(ppeb->ProcessParameters->MaximumLength);
  615.         printsegdec(ppeb->ProcessParameters->Length);
  616.         printseghex(ppeb->ProcessParameters->Flags);
  617.         printseghex(ppeb->ProcessParameters->DebugFlags);
  618.         printsegdec(ppeb->ProcessParameters->MaximumLength);
  619.         printsegdec(ppeb->ProcessParameters->MaximumLength);
  620.         wcout << L"\tCurrentDirectory:" << ppeb->ProcessParameters->CurrentDirectory.DosPath.Buffer<<endl;
  621.         wcout << L"\tCommandLine:" << ppeb->ProcessParameters->CommandLine.Buffer << endl;
  622.         wcout << L"\tWindowTitle:" << ppeb->ProcessParameters->WindowTitle.Buffer << endl;
  623.         wcout << L"\tDesktopInfo:" << ppeb->ProcessParameters->DesktopInfo.Buffer << endl;
  624.         cout << endl;
  625. }
复制代码
回复

使用道具 举报

0xAA55
发表于 2015-5-2 14:19:25 | 显示全部楼层
欢迎某天尊加入驱动开发行列。
回复 赞! 靠!

使用道具 举报

元始天尊
 楼主| 发表于 2015-5-2 23:42:05 | 显示全部楼层
0xAA55 发表于 2015-5-2 14:19
欢迎某天尊加入驱动开发行列。

还没呢,其实,哈哈
回复 赞! 靠!

使用道具 举报

13*0217
发表于 2015-5-12 13:37:40 | 显示全部楼层
看到PEB 和 TEB 包含了这么多的成员,我就醉了
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-22 16:27 , Processed in 0.033144 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表