首页
论坛
课程
招聘
[原创]获取被挂起进程基址小技巧(傀儡进程)
2019-7-29 15:13 3450

[原创]获取被挂起进程基址小技巧(傀儡进程)

2019-7-29 15:13
3450

创建傀儡进程时,一般以挂起模式创建一个系统进程,如:svchost.exe

然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,
最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。

其实可以直接通过GetThreadContext这个函数来直接获取PEB地址,在Ebx寄存器中保存的就是PEB地址。

typedef struct __PEB {
    BYTE InheritedAddressSpace;
    BYTE ReadImageFileExecOptions;
    BYTE BeingDebugged;
    BYTE SpareBool;
    void* Mutant;
    void* ImageBaseAddress;  // offset 0x08
    _PEB_LDR_DATA* Ldr;
    /*....*/
}MYPEB, *PMYPEB;

得知PEB结构偏移0x8的位置就是进程加载基址,在获取线程上下文后,直接用ebx的内容+8,再通过ReadProcessMemory读取4个字节,就可以得到被挂起进程的基址了。


   // 获取线程上下文
    CONTEXT ctx = { 0 };
    ctx.ContextFlags = CONTEXT_ALL;
    if (!GetThreadContext(pi.hThread, &ctx))
    {
        printf("GetThreadContext failed (%d).\n", GetLastError());
    }

    // 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
    // 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
    // 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
    DWORD dwImageBase =  0;
    DWORD lpNumberOfBytesRead = 0;
    if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
    {
        printf("ReadProcessMemory failed (%d).\n", GetLastError());
        return;
    }




[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年6月班火热招生!!

收藏
点赞1
打赏
分享
最新回复 (1)
雪    币: 1231
活跃值: 活跃值 (513)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SAO 活跃值 2021-5-4 18:51
2
0
能解释一下这个技巧的原理吗?为什么GetThreadContext可以直接获取PEB,这是规律吗?看有的傀儡进程demo还会直接在获取寄存器数据后使用eax=oep,能解释一下吗?
游客
登录 | 注册 方可回帖
返回