一、幾個重要的數據結構，可以通過windbg的dt命令查看其詳細信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技術原理 1、通過fs:[30h]獲取當前進程的_PEB結構 2、通過_PEB的Ldr成員獲取_PEB_LDR_DATA結構 ...

繼續上一篇(2)未完成的研究，我們接下來學習 KPROCESS這個數據結構。 1. 相關閱讀材料 《深入理解計算機系統(原書第2版)》 二. KPROCESS KPROCES ...

轉載：https://my.oschina.net/zengsai/blog/23733 ARM LDR 偽指令的格式： LDR Rn, =expr 如果name是立即數的話LDR R0,=0X123;//將0X123存入R0如果name時個標識符LDR R0,=NAME ...

PEB ：進程環境塊TEB.ProcessEnvironmentBlock成員就是PEB的結構體地址TEB結構體位於FS段選擇符所指的段內存的起始地址處，且ProcessEnvironmentBlock成員位於距TEB結構體Offset 30的位置即有兩種方法獲得PEB的地址 peb ...

一、什么是PEB結構（Process Envirorment Block Structure） 　　　　英文翻譯過來就是進程環境信息塊，這里包含了一寫進程的信息。我接觸到這個東西主要是在研究軟件的保護技術的時候，有種保護技術會檢測是否有調試器正在調試保護軟件，然后需要獲取是否被調試的消息 ...

  通過PEB的Ldr參數（結構體定義為_PEB_LDR_DATA），遍歷當前進程加載的模塊信息鏈表，找到目標模塊。   摘自PEB LDR DATA：   _PEB_LDR_DATA結構體中的InLoadOrderModuleList、InMemoryOrderModuleList ...

LDR指令的格式： LDR{條件} 目的寄存器 <存儲器地址> 作用：將 存儲器地址 所指地址處連續的4個字節（1個字）的數據傳送到目的寄存器中。 LDR指令的尋址方式比較靈活,實例如下： LDR R0，[R1 ...