第47章:PEB

 

 

PEB 结构体也很庞大,与代码逆向分析相关的有:

① BeingDebugged

Win 7  kernel32.dll 中此 API 检查当前进程是否处于调试状态:

先找到 TEB ,再找到 PEB ,最后找到该值。

② ImageBaseAddress

GetModuleHandle() API 用来获取 ImageBase .

③ Ldr

Ldr 成员是指向 _PEB_LDR_DATA 结构体的指针(DLL 加载到进程后,通过 Ldr 可以直接获取该模块的加载基地址):

可以看到该结构体中有三个 _LIST_ENTRY 类型的成员。

可以看到,它是双向链表。链表中的内容如下:

如下就是其中的一种遍历方法

④ ProcessHeap & NtGlobalFlag

posted @ 2020-08-29 16:42  Rev_omi  阅读(152)  评论(0编辑  收藏  举报