基於上一篇文章，大概了解了peb的獲取方法，但是那個方法只能獲得當前進程的PEB，不能獲得其他的進程的PEB。根據那個思想，獲得其他進程PEB則需要注入，得到進程信息，然后進程間通信，將信息返回來，經過考慮，這個方法太復雜。 下面介紹的方法是 用了一個未公開的函數 ...

完整工程：http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB（Process Environment Block，進程 ...

一、什么是PEB結構（Process Envirorment Block Structure） 　　　　英文翻譯過來就是進程環境信息塊，這里包含了一寫進程的信息。我接觸到這個東西主要是在研究軟件的保護技術的時候，有種保護技術會檢測是否有調試器正在調試保護軟件，然后需要獲取是否被調試的消息 ...

...

枚舉進程模塊的方法有很多種，常見的有枚舉PEB和內存搜索法，今天，先來看看實現起來最簡單的枚舉PEB實現獲取進程模塊列表。 首先，慣例是各種繁瑣的結構體定義。需要包含 ntifs.h 和 WinDef.h, 此處不再列出，各位看官根據情況自行添加 ...

這個函數的功能很強大，可以用來查找進程的很多相關信息。 先看一下定義： NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, _In_ ...

一、幾個重要的數據結構，可以通過windbg的dt命令查看其詳細信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技術原理 1、通過fs:[30h]獲取當前進程的_PEB結構 2、通過_PEB的Ldr成員獲取_PEB_LDR_DATA結構 ...

  通過PEB的Ldr參數（結構體定義為_PEB_LDR_DATA），遍歷當前進程加載的模塊信息鏈表，找到目標模塊。   摘自PEB LDR DATA：   _PEB_LDR_DATA結構體中的InLoadOrderModuleList、InMemoryOrderModuleList ...