[求助]关于NtQueryInformationProcess 与 peb的恩怨-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于NtQueryInformationProcess 与 peb的恩怨

发表于: 2015-11-9 19:09 3991

[求助]关于NtQueryInformationProcess 与 peb的恩怨

ruoe

2015-11-9 19:09

3991

跨进程要去取peb的话需要调用到NtQueryInformationProcess
所以NtQueryInformationProcess 取到的peb指，也肯定是保持在进程本身的
如果我们要伪造peb是不是可以将进程本身的peb地址改了？

我试过，不过貌似自己进程本身也会进行重载，是最后断下去的函数是ldrinitializethunk
不知道各位大大有什么好方案，可以修改进程本身的peb指

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 2 楼 .... 直接readprocess 搜模块基址模块oep 模块大小连续的 2015-11-12 17:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ruoe

发帖

219

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 2 楼 .... 直接readprocess 搜模块基址模块oep 模块大小连续的 2015-11-12 17:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复