2. 程式人生 > >【舊文章搬運】獲取並修改PEB中的映像路徑,命令列和當前目錄

【舊文章搬運】獲取並修改PEB中的映像路徑,命令列和當前目錄

阿新 發佈:2018-12-26

原文發表於百度空間,2008-7-24

當時對UNICODE_STRING的使用還有點問題,導致最終效果圖中字串被截斷了
==========================================================================

先從分析PEB開始吧.
感覺分析這個東西,首先要把型別定義搞清楚,這個在Windbg裡dt _PEB就可以了
搞清楚定義主要是為了定位相關變數的偏移.
PEB中的ProcessParameters部分就是程序的引數了,裡面就有我們感興趣的映像路徑等資訊
之所以對這個感興趣,是因為以前看到過修改PEB中的映像路徑過防火牆的
獲取PEB很簡單,也早有人說過這個問題.
在使用者模式下,fs暫存器指向TEB結構,在TEB開頭部分是這麼定義的:
lkd> dt _TEB
nt!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB        //這個就指向PEB

再看PEB的開頭部分:
lkd> dt _PEB
nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS //指向程序的引數

再來看_RTL_USER_PROCESS_PARAMETERS 的結構:
lkd> dt _RTL_USER_PROCESS_PARAMETERS
nt!_RTL_USER_PROCESS_PARAMETERS
   +0x000 MaximumLength    : Uint4B
   +0x004 Length           : Uint4B
   +0x008 Flags            : Uint4B
   +0x00c DebugFlags       : Uint4B
   +0x010 ConsoleHandle    : Ptr32 Void
   +0x014 ConsoleFlags     : Uint4B
   +0x018 StandardInput    : Ptr32 Void
   +0x01c StandardOutput   : Ptr32 Void
   +0x020 StandardError    : Ptr32 Void
   +0x024 CurrentDirectory : _CURDIR   //當前目錄
   +0x030 DllPath          : _UNICODE_STRING
   +0x038 ImagePathName    : _UNICODE_STRING  //映像路徑
   +0x040 CommandLine      : _UNICODE_STRING     //命令列
   +0x048 Environment      : Ptr32 Void
   +0x04c StartingX        : Uint4B
   +0x050 StartingY        : Uint4B
   +0x054 CountX           : Uint4B
   +0x058 CountY           : Uint4B
   +0x05c CountCharsX      : Uint4B
   +0x060 CountCharsY      : Uint4B
   +0x064 FillAttribute    : Uint4B
   +0x068 WindowFlags      : Uint4B
   +0x06c ShowWindowFlags : Uint4B
   +0x070 WindowTitle      : _UNICODE_STRING
   +0x078 DesktopInfo      : _UNICODE_STRING
   +0x080 ShellInfo        : _UNICODE_STRING
   +0x088 RuntimeData      : _UNICODE_STRING
   +0x090 CurrentDirectores : [32] _RTL_DRIVE_LETTER_CURDIR

到這兒,應該就比較清楚了,反正這些東西都是在使用者空間的,可以看也可以改.
關鍵程式碼如下:

 

typedef struct _RTL_USER_PROCESS_PARAMETERS
{
DWORD MaximumLength;
DWORD Length;
DWORD Flags;
DWORD DebugFlags;
HANDLE ConsoleHandle;
DWORD ConsoleFlags;
HANDLE StandardInput;
HANDLE StandardOutput;
HANDLE StandardError;
CURDIR CurrentDirectory;
UNICODE_STRING DllPath;
UNICODE_STRING ImagePathName;
UNICODE_STRING CommandLine;
void* Environment; //指向MULTI的寬字串
DWORD StartingX;
DWORD StartingY;
DWORD CountX;
DWORD CountY;
DWORD CountCharsX;
DWORD CountCharsY;
DWORD FillAttribute;
DWORD WindowFlags;
DWORD ShowWindowFlags;
UNICODE_STRING WindowTitle;
UNICODE_STRING DesktopInfo;
UNICODE_STRING ShellInfo;
UNICODE_STRING RuntimeData;
RTL_DRIVE_LETTER_CURDIR CurrentDirectores;
}RTL_USER_PROCESS_PARAMETERS;

void* PEB;
PWSTR p;
PWSTR fakeImagePath=L"I am achillis,this is fake image path";
PWSTR fakeCommandLine=L"I am achillis,this is fake commandline";
PWSTR fakeCurrentDirectory=L"I am achillis,this is fake CurrentDirectory";
RTL_USER_PROCESS_PARAMETERS *pUserParam;
_asm
{
mov eax,fs:[0x30] //TEB->PEB
mov eax,[eax+0x10]   //PEB->ProcessParameters
mov pUserParam,eax 
}
printf("RTL_USER_PROCESS_PARAMETERS:0x%08x\n",pUserParam);
//輸出映像路徑等資訊
//wprintf(L"DllPath:%s\n",pUserParam->DllPath.Buffer);
wprintf(L"[ImagePath]:%s\n",pUserParam->ImagePathName.Buffer);
wprintf(L"[CommandLine]:%s\n",pUserParam->CommandLine.Buffer);
wprintf(L"[CurrentDirectory]:%s\n",pUserParam->CurrentDirectory.DosPath.Buffer);
//修改其中的內容
lstrcpyW(pUserParam->ImagePathName.Buffer,fakeImagePath);
lstrcpyW(pUserParam->CommandLine.Buffer,fakeCommandLine);
lstrcpyW(pUserParam->CurrentDirectory.DosPath.Buffer,fakeCurrentDirectory);

 

效果還行,但是路徑那塊兒還是有問題,被截斷了.
丟個圖吧,高手飄過~

 

 

相關推薦

文章搬運獲取修改PEB路徑命令當前目錄

原文發表於百度空間,2008-7-24 當時對UNICODE_STRING的使用還有點問題,導致最終效果圖中字串被截斷了========================================================================== 先從分析PEB開始吧.感覺分析這個東

文章搬運修改PEB,斷鏈隱藏模組成功

原文發表於百度空間,2008-7-26========================================================================== 繼續實踐之前的想法,就是斷掉如下這個結構中的雙向連結串列: typedef struct _LDR_MODULE

文章搬運Windows核心常見資料結構(程序相關)

原文發表於百度空間,2008-7-24========================================================================== 程序的相關結構非常重要,重點學習~有一些內容參考自:http://dev.csdn.net/article/20/202

文章搬運Windows核心常見資料結構(驅動相關)

原文發表於百度空間,2008-7-24========================================================================== 這些是驅動中相關的資料結構. 驅動物件,由I/O管理器建立,用於管理裝置(Device):lkd> dt _DR

文章搬運Windows核心常見資料結構(執行緒相關)

原文發表於百度空間,2008-7-24========================================================================== 執行緒是程序的實際存在,每個程序中至少會有一個執行緒.執行緒相關的資料結構比較多,一個一個看.首先是ETHREAD:lk

文章搬運暴力的查程序方法

原文發表於百度空間,2008-7-25========================================================================== 忘了在哪兒看到的了,就是讓pid從1開始使用OpenProcess來開啟程序,然後根據得到的控制代碼獲取程序名稱.絕對的

文章搬運遍歷EPROCESS的ActiveProcessLinks列舉程序

原文發表於百度空間,2008-7-25========================================================================== 前面對PEB的相關結構和其中的重要成員進行了分析和學習,現在開始真正進入核心,學習核心中的一些結構.這個EPROCESS

文章搬運ZwQuerySystemInformation列舉進執行緒資訊

原文發表於百度空間,2008-10-15========================================================================== 很古老的東西了,寫一寫,權當練手吧.本來以為沒什麼難度,很科普很傻瓜的東西,但是寫的時候還是遇到一些問題,程序資訊正確

文章搬運ZwQuerySystemInformation枚舉內核模塊及簡單應用

接下來 smo and obj 基址 add dwr 調用 mit 原文發表於百度空間,2008-10-24========================================================================== 簡單說,即調用

文章搬運爐子給的SYSTEM_HANDLE_TYPE有點錯誤

原文發表於百度空間,2008-12-03========================================================================== 今天寫程式,用ZwQuerySystemInformation列舉系統中的檔案控制代碼時出了問題,死活一個都找不到,可

文章搬運Windbg+Vmware驅動除錯入門(一)--Windbg的設定

原文發表於百度空間,2009-01-08========================================================================== Windbg+Vmware驅動除錯入門,寫給wakaka小童鞋,很強大的小童鞋,同時也做為自己的存檔~~ Windb

文章搬運Windbg+Vmware驅動除錯入門(三)---Windbg基本除錯入門

原文發表於百度空間,2009-01-09========================================================================== 這一節的內容是Windbg入門,用一些基本的命令告訴你如何使用Windbg~~僅作入門,更詳細的可以參考Raymond

文章搬運Windbg+Vmware驅動除錯入門(二)---Vmware及GuestOS的設定

原文發表於百度空間,2009-01-08========================================================================== 這一篇是主要是關於Vmware部分的設定,其實參考JIURL那篇很經典的《藉助VMware實現單機使用WinDbg》就

文章搬運Windbg+Vmware驅動除錯入門(四)---VirtualKD核心除錯加速工具

原文發表於百度空間,2009-01-09========================================================================== 今天又想起來VirtualKD這個東西,試用了一下,真是爽壞了,可能我火星了~~ 很久以前就知道小喂有個VmKd工具

文章搬運PspCidTable概述

原文發表於百度空間,2009-03-28========================================================================== PspCidTable也是一個控制代碼表,其格式與普通的控制代碼表是完全一樣的.但它與每個程序私有的控制代碼表有以下不

文章搬運Windows控制代碼表分配演算法分析(三)

原文發表於百度空間,2009-03-30========================================================================== 三、當需要申請一個新的二級表(MidLevelTable)時,呼叫ExpAllocateMidLevelTable函式

文章搬運Windows控制代碼表分配演算法分析(實驗部分)

原文發表於百度空間,2009-03-31========================================================================== 理論結合實踐,這是我一貫的學習方法~~實驗目的:以實驗的方式觀察PspCidTable的變化,從中瞭解Windows控

文章搬運除錯沒有符號的驅動時如何斷在入口點處

原文發表於百度空間,2009-04-17========================================================================== 關於除錯沒有符號的驅動時如何斷在入口點處這個問題,先說一個我聽來的很挫的方法:用C32ASM修改DriverEntry

文章搬運Idle進程相關的一些東西

表頭 arr ffd 共享 如何 initials pro == ogre 原文發表於百度空間,2009-05-13========================================================================== Idl

文章搬運CsrssWalker學習筆記

RoCE 需要 ren 接收 構建 ted struct expected com 原文發表於百度空間及看雪論壇,2009-05-13 看雪論壇地址:https://bbs.pediy.com/thread-89708.htm=======================