golang에서 peb을 구현하는 방법-Golang-php.cn

PEB를 읽는 단계

결론

집

백엔드 개발

Golang

golang에서 peb을 구현하는 방법

PHPz

Apr 14, 2023 am 11:21 AM

PEB(Process Environment Block)는 프로세스의 기본 주소, 프로세스의 환경 변수, 프로세스의 명령줄 매개변수 등과 같은 많은 시스템 수준 정보를 저장하는 프로세스의 환경 블록입니다. . Windows 커널에서 PEB는 커널 모드에서 문서화되지 않은 네이티브 API(예: ZwQueryInformationProcess)를 통해 읽을 수 있는 구조로 구현됩니다.

이 글에서는 golang 언어를 사용하여 간단한 PEB 뷰어를 구현하는 방법을 소개하겠습니다.

PEB를 읽는 단계

현재 프로세스의 핸들을 가져옵니다.

golang에서는 syscall 패키지의 GetCurrentProcess 함수를 사용하여 현재 프로세스의 핸들을 가져올 수 있습니다.
```
handle, err := syscall.GetCurrentProcess()
if err != nil {
    fmt.Println("获取当前进程句柄失败：", err)
    return
}
defer syscall.CloseHandle(handle)
```
로그인 후 복사
PEB 주소를 포함하여 현재 프로세스의 정보를 쿼리합니다.

Windows에서는 ZwQueryInformationProcess 또는 NtQueryInformationProcess를 사용하여 프로세스 정보를 읽을 수 있습니다. 하지만 이러한 API는 golang에 직접 노출되지 않으므로 시스템 기능을 호출하려면 unsafe 패키지를 사용해야 합니다.
```
var pbi PROCESS_BASIC_INFORMATION
var returnLength uint32
ntStatus := NtQueryInformationProcess(
    handle,
    PROCESS_BASIC_INFORMATION_CLASS,
    uintptr(unsafe.Pointer(&pbi)),
    uint32(unsafe.Sizeof(pbi)),
    uintptr(unsafe.Pointer(&returnLength)),
)
if ntStatus != STATUS_SUCCESS {
    fmt.Println("获取进程PEB信息失败：", ntStatus)
    return
}
```
로그인 후 복사
위 코드에서는 NtQueryInformationProcess 함수에서 반환된 프로세스 정보를 저장하기 위해 PROCESS_BASIC_INFORMATION 구조를 정의합니다. PROCESS_BASIC_INFORMATION_CLASS 열거 값을 지정하여 읽어야 하는 정보를 시스템에 알려줍니다. 여기서 필요한 것은 PEB 정보입니다. 또한 반환된 정보와 이 버퍼의 크기를 저장하기 위한 버퍼도 제공해야 합니다.

구체적인 구현에 대해서는 일부 시스템 API를 구현하고 일부 데이터 구조를 제공하는 이 프로젝트 [https://github.com/processhacker/phnt](https://github.com/processhacker/phnt)를 참조하세요. 예: PROCESS_BASIC_INFORMATION.

PEB 구조의 정보를 읽어보세요.

PEB는 여러 프로세스에 대한 정보를 저장하는 매우 중요한 구조입니다. PEB의 정의는 다음과 같습니다.

typedef struct _PEB {
    BOOLEAN InheritedAddressSpace;
    BOOLEAN ReadImageFileExecOptions;
    BOOLEAN BeingDebugged;
    BOOLEAN SpareBool;
    HANDLE Mutant;
    PVOID ImageBaseAddress;
    PPEB_LDR_DATA Ldr;
    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
    PVOID SubSystemData;
    PVOID ProcessHeap;
    PRTL_CRITICAL_SECTION FastPebLock;
    PVOID AtlThunkSListPtr;
    PVOID IFEOKey;
    PVOID CrossProcessFlags;
    PVOID UserSharedInfoPtr;
    ULONG SystemReserved[1];
    ULONG AtlThunkSListPtr32;
    PVOID ApiSetMap;
} PEB, *PPEB;

로그인 후 복사

golang의 안전하지 않은 패키지를 사용하여 이 데이터를 읽을 수 있습니다. 예를 들어 다음 코드를 사용하여 PEB의 ImageBaseAddress를 읽을 수 있습니다.

type PEB struct {
    InheritedAddressSpace    bool
    ReadImageFileExecOptions bool
    BeingDebugged            bool
    SpareBool                bool
    Mutant                   syscall.Handle
    ImageBaseAddress         uintptr
    Ldr                      *PEB_LDR_DATA
    ProcessParameters        *RTL_USER_PROCESS_PARAMETERS
    SubSystemData            uintptr
    ProcessHeap              uintptr
    FastPebLock              *RTL_CRITICAL_SECTION
    AtlThunkSListPtr         uintptr
    IFEOKey                  uintptr
    CrossProcessFlags        uintptr
    UserSharedInfoPtr        uintptr
    SystemReserved           [1]uint32
    AtlThunkSListPtr32       uintptr
    ApiSetMap                uintptr
}

func (p *PEB) GetImageBaseAddress() uintptr {
    return p.ImageBaseAddress
}

peb := (*PEB)(unsafe.Pointer(pbi.PebBaseAddress))
fmt.Printf("ImageBaseAddress: 0x%x\n", peb.GetImageBaseAddress())

로그인 후 복사

위 코드에서는 먼저 PEB 구조를 정의하고 구조의 필드 유형을 지정합니다. 다음으로 PEB의 ImageBaseAddress 필드를 반환하는 GetImageBaseAddress 함수를 구현했습니다. 마지막으로 PEB의 기본 주소를 *PEB 유형으로 변환하여 PEB의 정보를 읽습니다.

프로세스의 모듈 정보를 읽어보세요.

PEB에서 ImageBaseAddress를 얻은 후 PEB_LDR_DATA의 InMemoryOrderModuleList를 순회하여 프로세스에 로드된 모든 모듈 정보를 얻을 수 있습니다.

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        ULONG TimeDateStamp;
        struct {
            PVOID LoadedImports;
            PVOID EntryPointActivationContext;
        };
    };
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _PEB_LDR_DATA {
    ULONG Length;
    BOOLEAN Initialized;
    HANDLE SsHandle;
    LIST_ENTRY InLoadOrderModuleList;
    LIST_ENTRY InMemoryOrderModuleList;
    LIST_ENTRY InInitializationOrderModuleList;
    PVOID EntryInProgress;
    BOOLEAN ShutdownInProgress;
    HANDLE ShutdownThreadId;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

로그인 후 복사

다음 코드를 사용하여 모듈 정보를 탐색할 수 있습니다.

type LDR_DATA_TABLE_ENTRY struct {
    InLoadOrderLinks            LIST_ENTRY
    InMemoryOrderLinks          LIST_ENTRY
    InInitializationOrderLinks  LIST_ENTRY
    DllBase                     uintptr
    EntryPoint                  uintptr
    SizeOfImage                 uint32
    FullDllName                 UNICODE_STRING
    BaseDllName                 UNICODE_STRING
    Flags                       uint32
    LoadCount                   uint16
    TlsIndex                    uint16
    HashLinks                   LIST_ENTRY
    TimeDateStamp               uint32
}

type PEB_LDR_DATA struct {
    Length                             uint32
    Initialized                        bool
    SsHandle                           syscall.Handle
    InLoadOrderModuleList              LIST_ENTRY
    InMemoryOrderModuleList            LIST_ENTRY
    InInitializationOrderModuleList    LIST_ENTRY
}

pebLdrData := (*PEB_LDR_DATA)(unsafe.Pointer(peb.Ldr))
moduleList := (*LIST_ENTRY)(unsafe.Pointer(&pebLdrData.InMemoryOrderModuleList))

for moduleList.Flink != uintptr(unsafe.Pointer(&pebLdrData.InMemoryOrderModuleList)) {
    ldrDataTableEntry := (*LDR_DATA_TABLE_ENTRY)(unsafe.Pointer(moduleList.Flink))
    moduleName := WcharPtrToString(ldrDataTableEntry.BaseDllName.Buffer, uint32(ldrDataTableEntry.BaseDllName.Length/2))
    moduleBase := ldrDataTableEntry.DllBase
    moduleSize := ldrDataTableEntry.SizeOfImage
    moduleEntry := ldrDataTableEntry.EntryPoint
    moduleList = (*LIST_ENTRY)(unsafe.Pointer(moduleList.Flink))
    fmt.Printf("模块名称：%s，基地址：%x，大小：%x，入口点：%x\n", moduleName, moduleBase, moduleSize, moduleEntry)
}

로그인 후 복사

위 코드에서는 먼저 LDR_DATA_TABLE_ENTRY 구조를 정의하여 모듈 정보를 저장합니다. 그런 다음 PEB_LDR_DATA 구조를 정의하고 peb.Ldr 포인터를 이 구조 포인터로 변환합니다. 마지막으로 InMemoryOrderModuleList 목록을 탐색하고 각 모듈을 읽습니다.

모듈의 기본 주소를 얻은 후 ReadProcessMemory 함수를 사용하여 모듈의 데이터를 읽을 수 있습니다. 구체적인 구현 방법은 이 프로젝트 [https://github.com/AllenDang/w32/blob/master/process_windows.go](https://github.com/AllenDang/w32/blob/master/process_windows.go)를 참조하세요. ), 프로세스에서 데이터를 읽는 기능을 구현합니다.

그러나 우리가 얻으려는 프로세스가 다른 프로세스인 경우 프로세스 데이터를 읽을 때 프로세스의 액세스 권한을 지정해야 한다는 점에 유의해야 합니다. golang에서는 CreateToolhelp32Snapshot 함수를 사용하여 모든 프로세스 목록을 얻고 프로세스 핸들을 얻을 때 특정 액세스 권한을 지정할 수 있습니다.

const (
    PROCESS_QUERY_INFORMATION     = 0x0400
    PROCESS_VM_READ               = 0x0010
    PROCESS_VM_WRITE              = 0x0020
    PROCESS_VM_OPERATION          = 0x0008
    PROCESS_CREATE_THREAD         = 0x0002
    PROCESS_CREATE_PROCESS        = 0x0080
    PROCESS_TERMINATE             = 0x0001
    PROCESS_ALL_ACCESS            = 0x1F0FFF
    TH32CS_SNAPPROCESS            = 0x00000002
)

func openProcess(pid uint32) (handle syscall.Handle, err error) {
    handle, err = syscall.OpenProcess(PROCESS_VM_READ|PROCESS_QUERY_INFORMATION|PROCESS_VM_WRITE, false, pid)
    return
}

func main() {
    snapshot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
    defer syscall.CloseHandle(snapshot)

    var procEntry PROCESSENTRY32
    procEntry.Size = uint32(unsafe.Sizeof(procEntry))

    var (
        handle syscall.Handle
        err error
    )

    if Process32First(snapshot, &procEntry) {
        for {
            if strings.EqualFold(strings.ToLower(WcharPtrToString(procEntry.ExeFile[:])), "notepad.exe") {
                fmt.Printf("找到 notepad 进程，pid：%d\n", procEntry.ProcessID)
                handle, err = openProcess(procEntry.ProcessID)
                if err != nil {
                    fmt.Println("打开进程失败:", err)
                }
            }

            if !Process32Next(snapshot, &procEntry) {
                break
            }
        }
    }
}

로그인 후 복사

결론

이 글에서는 golang 언어를 사용하여 간단한 PEB 뷰어를 구현하는 방법을 소개합니다. PEB는 Windows 커널의 구조로 구현되는 프로세스 환경 블록으로 많은 시스템 수준 정보를 저장합니다. golang의 unsafe 패키지를 사용하면 프로세스의 PEB 정보와 모듈 정보를 읽을 수 있습니다. 다만, 다른 프로세스의 PEB 정보 및 모듈 정보를 읽을 때에는 접근 권한을 지정해 주어야 한다는 점에 유의해야 한다.

위 내용은 golang에서 peb을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7470

Cakephp 튜토리얼

1377

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

Debian Openssl의 취약점은 무엇입니까? Apr 02, 2025 am 07:30 AM

보안 통신에 널리 사용되는 오픈 소스 라이브러리로서 OpenSSL은 암호화 알고리즘, 키 및 인증서 관리 기능을 제공합니다. 그러나 역사적 버전에는 알려진 보안 취약점이 있으며 그 중 일부는 매우 유해합니다. 이 기사는 데비안 시스템의 OpenSSL에 대한 일반적인 취약점 및 응답 측정에 중점을 둘 것입니다. DebianopensSL 알려진 취약점 : OpenSSL은 다음과 같은 몇 가지 심각한 취약점을 경험했습니다. 심장 출혈 취약성 (CVE-2014-0160) :이 취약점은 OpenSSL 1.0.1 ~ 1.0.1F 및 1.0.2 ~ 1.0.2 베타 버전에 영향을 미칩니다. 공격자는이 취약점을 사용하여 암호화 키 등을 포함하여 서버에서 무단 읽기 민감한 정보를 사용할 수 있습니다.