windbg
尝试了此操作,但无法通过以下方式转储PEB:!peb
或
dt nt!_PEB_LDR_DATA
和其他人。但是,我无法摆脱PEB。因此,我最喜欢的调试器仍然是
immunitydbg
。因此,我试图使用immunitydbg
CLI来获取信息。但是我设法找到的最接近PEB的东西是转储TEB。d fs:[0]
所以,无论如何,我在抗扰性内总能得到TEB / PEB的内容?我也尝试使用
Ollysdbg
PE Dump插件,但这只给了我另一个具有不同内容的exe文件。而且我也不确定PE插件是否为我做正确的事。 #1 楼
在OllyDbg / ImmunityDbg中打开“内存映射”窗口,向下滚动到底部,然后双击包含Process Environment Block
的条目。这将在OllyDbg / ImmunityDbg中打开PEB的转储:#2 楼
alt + f1 d fs:[30] ollydbg 1.10 raw peb
与
stolly plugin
用于1.10 select the first byte
在dump->right click->sructure
中select _peb
从下拉框用于解码的peb。al+g fs:[30] in ollydbg 2.01 fully decoded _peb in dump / disasm window
评论
我已经绑定了,但是我找不到包含“ Process Environment Block”的条目,当我在OllyDbg / ImmunityDbg:\中打开$ application时,没有这样的行。但是我发现了一个名为mona的插件,它也解决了我的问题。有能力但是用手做会很棒。
–德克
2014年5月21日14:48
ImmunityDbg已经过时了。您在哪个版本的OllyDbg上进行了测试?
–詹森·格夫纳(Jason Geffner)
2014年5月21日下午16:50
我在家中使用的是v1.10
–德克
2014年5月21日下午16:56
OllyDbg v1.10已有10岁。请尝试使用OllyDbg v2.01-ollydbg.de/version2.html
–詹森·格夫纳(Jason Geffner)
2014年5月21日19:25