精易论坛

标题: 随手笔记02. 部分汇编代码,TEB,PEB,SEH [打印本页]
作者: 福仔    时间: 2020-4-19 15:21
标题: 随手笔记02. 部分汇编代码,TEB,PEB,SEH
本帖最后由 福仔 于 2020-4-19 15:22 编辑
  
子程序名返回值类型公开备 注
GetCurrentProcessNameW整数型 取自进程名字, 返回Unicode进程名文本指针
置入代码 ({ 100, 161, 24, 0, 0, 0, 139, 64, 48, 139, 64, 12, 139, 64, 12, 139, 64, 48, 201, 195 })
' mov eax,dword ptr fs:[0x18h]
 ' mov eax,dword ptr [eax+30h]
 ' mov eax,dword ptr [eax+0Ch]
 ' mov eax,dword ptr [eax+0Ch]
 ' mov eax,dword ptr [eax+30h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetCurrentProcessFileNameW整数型 取自进程完整路径, 返回Unicode进程名文本指针
置入代码 ({ 100, 161, 24, 0, 0, 0, 139, 64, 48, 139, 64, 12, 139, 64, 12, 139, 64, 40, 201, 195 })
' mov eax,dword ptr fs:[0x18h]
 ' mov eax,dword ptr [eax+30h]
 ' mov eax,dword ptr [eax+0Ch]
 ' mov eax,dword ptr [eax+0Ch]
 ' mov eax,dword ptr [eax+28h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
IsDebugger逻辑型 进程是否被调试
置入代码 ({ 51, 192, 100, 139, 29, 48, 0, 0, 0, 138, 67, 2, 201, 195 })
' xor eax,eax
 ' mov ebx,dword ptr fs:[0x30h]
 ' mov al,byte ptr [ebx+2]
 ' leave
 ' ret
返回 ()
子程序名返回值类型公开备 注
GetImageBaseAddress整数型 取自身模块基址, GetModuleHandle(0) 一样
置入代码 ({ 100, 161, 48, 0, 0, 0, 139, 64, 8, 201, 195 })
' mov eax,dword ptr fs:[0x30h]
 ' mov eax,byte ptr [ebx+0x8h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetSEH整数型 取SEH链指针
置入代码 ({ 100, 161, 0, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x0h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetThreadStackTop整数型 取线程堆栈栈顶
置入代码 ({ 100, 161, 4, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x4h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetThreadStackBottom整数型 取线程堆栈栈底
置入代码 ({ 100, 161, 8, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x8h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetSubSystemTib整数型 取子系统Tib
置入代码 ({ 100, 161, 12, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0xCh]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetFiberData整数型 
置入代码 ({ 100, 161, 16, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x10h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetArbitraryUserPointer整数型 取任意用户指针
置入代码 ({ 100, 161, 20, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x14h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetTEB整数型 取TEB指针
置入代码 ({ 100, 161, 24, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x18h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetPid整数型 取自进程ID, GetCurrentProcessId
置入代码 ({ 100, 161, 32, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x20h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetTid整数型 取当前线程ID, GetCurrentThreadId
置入代码 ({ 100, 161, 36, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x24h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetThreadAddress整数型 指向线程局部存储指针
置入代码 ({ 100, 161, 44, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x2Ch]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetPEB整数型 取PEB结构地址(进程结构)
置入代码 ({ 100, 161, 48, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x30h]
 ' leave
 ' ret
返回 (0)
子程序名返回值类型公开备 注
GetPrevError整数型 取上一个错误号
置入代码 ({ 100, 161, 48, 0, 0, 0, 201, 195 })
' mov eax,dword ptr fs:[0x30h]
 ' leave
 ' ret
返回 (0)


作者: 商亨人和    时间: 2020-4-19 15:29
牛逼,支持~
作者: 冰棍好烫啊    时间: 2020-4-19 16:34
感谢楼主分享
作者: wjswzj0    时间: 2020-4-19 17:22
感谢楼主分享
作者: 283688410    时间: 2020-4-19 20:51
谢谢楼主分享
作者: 315215    时间: 2020-4-20 06:16
这种有什么用的?
作者: kentfung    时间: 2020-4-20 10:34
这个厉害啊,谢谢分享
作者: uuuc    时间: 2020-4-20 21:21
这个来支持一下啊
作者: ujff77    时间: 2020-4-21 17:18
这个来支持一下啊
作者: hmyroot    时间: 2020-4-26 10:59
牛逼,相当于操作CPU指令
作者: hmyroot    时间: 2020-4-26 10:59
牛 逼,相当于操 作C P U指 令
作者: 1369469202    时间: 2022-10-17 18:22
支持....




欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4