一、几个重要的数据结构，可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 ...

继续上一篇(2)未完成的研究，我们接下来学习 KPROCESS这个数据结构。 1. 相关阅读材料 《深入理解计算机系统(原书第2版)》 二. KPROCESS KPROCES ...

转载：https://my.oschina.net/zengsai/blog/23733 ARM LDR 伪指令的格式： LDR Rn, =expr 如果name是立即数的话LDR R0,=0X123;//将0X123存入R0如果name时个标识符LDR R0,=NAME ...

PEB ：进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址TEB结构体位于FS段选择符所指的段内存的起始地址处，且ProcessEnvironmentBlock成员位于距TEB结构体Offset 30的位置即有两种方法获得PEB的地址 peb ...

一、什么是PEB结构（Process Envirorment Block Structure） 　　　　英文翻译过来就是进程环境信息块，这里包含了一写进程的信息。我接触到这个东西主要是在研究软件的保护技术的时候，有种保护技术会检测是否有调试器正在调试保护软件，然后需要获取是否被调试的消息 ...

  通过PEB的Ldr参数（结构体定义为_PEB_LDR_DATA），遍历当前进程加载的模块信息链表，找到目标模块。   摘自PEB LDR DATA：   _PEB_LDR_DATA结构体中的InLoadOrderModuleList、InMemoryOrderModuleList ...

LDR指令的格式： LDR{条件} 目的寄存器 <存储器地址> 作用：将 存储器地址 所指地址处连续的4个字节（1个字）的数据传送到目的寄存器中。 LDR指令的寻址方式比较灵活,实例如下： LDR R0，[R1 ...