Security Teams



:::
  Ответ в темуСоздание новой темыСоздание опроса

> Полное описание Process Environment Block (PEB)
cl0ne
Дата 22.09.2007 - 12:36
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 67
Пользователь №: 4685
Регистрация: 21.11.2006



Рейтинг:
(0%) -----


Ищу описание или статью по этой теме. Гуглить пытался, вся информация отрывочная, а хотелось бы составить полную картину...
Чаще всего ссылаются на _https://jiurl.nease.net/document/JiurlPlayWin2k/PsPeb.htm, но линк мертв. Может быть, у кого-нибудь сохранилась эта статья?

И пользуясь случаем также хотел бы уточнить, можно ли с помощью PEB
1) Скрыть подгруженный к процессу dll-модуль?
2) Изменить имя процесса/путь к исполняемому файлу?
3) Получить базу kernel32.dll?

Спасибо.
PMПисьмо на e-mail пользователю
Top
J-MiB
Дата 23.09.2007 - 13:23
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 36
Пользователь №: 4443
Регистрация: 7.09.2006



Рейтинг:
(0%) -----


https://web.archive.org...Win2k/PsPeb.htm

На счет 2) не уверен (по идее можно), а 1) и 3) реализуются точно.


--------------------
Ты - мимолетное воспоминание, которое сразу забудется.
Ты не существуешь. Ты вобще не появлялся на свет.
Безымянность - твое имя. Молчание - твой родной язык.
Ты больше не чаcть общества. Ты выпадаешь из системы. Ты над ней, вне ее.
Узы порваны. Мы для всех "они". Мы - люди в черном.
PMПисьмо на e-mail пользователю
Top
cl0ne
Дата 23.09.2007 - 21:46
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 67
Пользователь №: 4685
Регистрация: 21.11.2006



Рейтинг:
(0%) -----


А правда ли, что PEB всегда находится по адресу 0x7FFDF000?
PMПисьмо на e-mail пользователю
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса

 





банкетные залы юао, цао сао свао