View Full Version : دسترسی به peb
amir_civil
پنج شنبه 02 اردیبهشت 1389, 13:49 عصر
با سلام
به جزء استفاده از کد زیر
FS:[0x30]
چه روشی وجود داره که به peb دسترسی داشته باشیم؟
(احتمالا api ها هم از این روش استفاده میکنند)
Mehdi Asgari
پنج شنبه 02 اردیبهشت 1389, 15:44 عصر
روش های دیگری هم وجود دارند. منتها یک بار که برنامه ای می نوشتم تا لیست ماژول های Load شده در تمام process های سیستم رو به دست بیاره ، نیاز به دسترسی به PEB داشتم و هم از این روش (inline assembly و دسترسی به FS:[0x30] ) و هم روش های دیگه استفاده کردم ، در تستی که داشتم روی ویندوز های مختلف (XP هر سه سرویس پک ، 2003 SP1 و ویندوز 7) فقط این روش روی همه سیستم ها به درستی جواب داد
(روی user mode اینطوریه. کرنل مد رو نمی دونم)
amir_civil
پنج شنبه 02 اردیبهشت 1389, 18:24 عصر
سلام
پس پایین ترین سطح همین رجیسترها هستند
درسته؟
هم روش های دیگه استفاده کردم
میشه بیشتر توضیح بدید؟ چه روشی؟
در مورد teb هم صادق هست؟
Mehdi Asgari
جمعه 03 اردیبهشت 1389, 10:35 صبح
Google is your friend
رو ویندوز های قدیم ، PEB در 0x7ffdf000 واقع بود (تا Win XP SP2)
اینم یه نمونه کد : http://www.codeproject.com/KB/threads/GetNtProcessInfo.aspx
vBulletin® v4.2.5, Copyright ©2000-1404, Jelsoft Enterprises Ltd.