基于上一篇文章，大概了解了peb的获取方法，但是那个方法只能获得当前进程的PEB，不能获得其他的进程的PEB。根据那个思想，获得其他进程PEB则需要注入，得到进程信息，然后进程间通信，将信息返回来，经过考虑，这个方法太复杂。 下面介绍的方法是 用了一个未公开的函数 ...

完整工程：http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB（Process Environment Block，进程 ...

一、什么是PEB结构（Process Envirorment Block Structure） 　　　　英文翻译过来就是进程环境信息块，这里包含了一写进程的信息。我接触到这个东西主要是在研究软件的保护技术的时候，有种保护技术会检测是否有调试器正在调试保护软件，然后需要获取是否被调试的消息 ...

...

枚举进程模块的方法有很多种，常见的有枚举PEB和内存搜索法，今天，先来看看实现起来最简单的枚举PEB实现获取进程模块列表。 首先，惯例是各种繁琐的结构体定义。需要包含 ntifs.h 和 WinDef.h, 此处不再列出，各位看官根据情况自行添加 ...

这个函数的功能很强大，可以用来查找进程的很多相关信息。 先看一下定义： NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, _In_ ...

一、几个重要的数据结构，可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 ...

  通过PEB的Ldr参数（结构体定义为_PEB_LDR_DATA），遍历当前进程加载的模块信息链表，找到目标模块。   摘自PEB LDR DATA：   _PEB_LDR_DATA结构体中的InLoadOrderModuleList、InMemoryOrderModuleList ...