адский проц нах и его PEB
В попытке добраться до PEB (его аддрес в строктуре PROCESS_BASIC_INFORMATION )
вот что я накромсал:
HINST dd ?
procesID dd ? //ID process
procesH dd ? //Handle process
address dd ?
kernel db "kernel32",0
ntdll db "ntdll",0
funcName db "ZwQueryInformationProcess";
ProcBasicInform PROCESS_BASIC_INFORMATION <?>
lengReturn dd ?
.code
start:
push 0
call GetModuleHandleA@4
mov [HINST],eax
;-----------------------------------------------
call GetCurrentProcessId
;------------------------------------------------
OpenProcess , PROCESS_ALL_ACCESS , 0 , EAX
mov procesH,EAX
;------------------------------------------------
call GetModuleHandleA , offset ntdll
;---------------------------------------------------
call GetProcAddress , eax , funcName
;--------------------------------------------------
push offset lengReturn
push sizeof(PROCESS_BASIC_INFORMATION)
push offset ProcBasicInform
push SystemBasicInformation //constanta
push offset procesH
call EAX //ZwQueryInformationProcess
но на offsete ProcBasicInform
не оказалось ничего
вот что я накромсал:
HINST dd ?
procesID dd ? //ID process
procesH dd ? //Handle process
address dd ?
kernel db "kernel32",0
ntdll db "ntdll",0
funcName db "ZwQueryInformationProcess";
ProcBasicInform PROCESS_BASIC_INFORMATION <?>
lengReturn dd ?
.code
start:
push 0
call GetModuleHandleA@4
mov [HINST],eax
;-----------------------------------------------
call GetCurrentProcessId
;------------------------------------------------
OpenProcess , PROCESS_ALL_ACCESS , 0 , EAX
mov procesH,EAX
;------------------------------------------------
call GetModuleHandleA , offset ntdll
;---------------------------------------------------
call GetProcAddress , eax , funcName
;--------------------------------------------------
push offset lengReturn
push sizeof(PROCESS_BASIC_INFORMATION)
push offset ProcBasicInform
push SystemBasicInformation //constanta
push offset procesH
call EAX //ZwQueryInformationProcess
но на offsete ProcBasicInform
не оказалось ничего
А зачем тебе PEB?
если вот за этим:
ProcessBasicInformation retrieves a pointer to a PEB structure that can be used to determine whether the specified process is being debugged
если вот за этим:
Цитата:
ProcessBasicInformation retrieves a pointer to a PEB structure that can be used to determine whether the specified process is being debugged
то можно воспользоваться CheckRemoteDebuggerPresent.
мне нужно узнать список модулей загруженных в процесс
(общая цель обнаружение скрытых процессов)
инфу я уже нашел сейчас сижу разбираюсь
(общая цель обнаружение скрытых процессов)
инфу я уже нашел сейчас сижу разбираюсь