我正在尝试实际学习如何在TEB内进入PEB。我已经使用windbg尝试了此操作,但无法通过以下方式转储PEB:

!peb




dt nt!_PEB_LDR_DATA


和其他人。但是,我无法摆脱PEB。因此,我最喜欢的调试器仍然是immunitydbg。因此,我试图使用immunitydbg CLI来获取信息。但是我设法找到的最接近PEB的东西是转储TEB。

d fs:[0]


所以,无论如何,我在抗扰性内总能得到TEB / PEB的内容?我也尝试使用Ollysdbg PE Dump插件,但这只给了我另一个具有不同内容的exe文件。而且我也不确定PE插件是否为我做正确的事。

#1 楼

在OllyDbg / ImmunityDbg中打开“内存映射”窗口,向下滚动到底部,然后双击包含Process Environment Block的条目。这将在OllyDbg / ImmunityDbg中打开PEB的转储:



评论


我已经绑定了,但是我找不到包含“ Process Environment Block”的条目,当我在OllyDbg / ImmunityDbg:\中打开$ application时,没有这样的行。但是我发现了一个名为mona的插件,它也解决了我的问题。有能力但是用手做会很棒。

–德克
2014年5月21日14:48

ImmunityDbg已经过时了。您在哪个版本的OllyDbg上进行了测试?

–詹森·格夫纳(Jason Geffner)
2014年5月21日下午16:50

我在家中使用的是v1.10

–德克
2014年5月21日下午16:56

OllyDbg v1.10已有10岁。请尝试使用OllyDbg v2.01-ollydbg.de/version2.html

–詹森·格夫纳(Jason Geffner)
2014年5月21日19:25



#2 楼

alt + f1 d fs:[30] ollydbg 1.10  raw peb  


stolly plugin用于1.10 select the first bytedump->right click->sructure
select _peb从下拉框用于解码的peb。

al+g fs:[30] in ollydbg 2.01 fully decoded _peb in dump / disasm window