由於fs暫存器裡面有很多資訊可用,so 在不注入的情況下採用暴力搜尋。
我不知道有沒有更高階的辦法。
nt!_teb
+0x000 nttib : _nt_tib
+0x000 exceptionlist : ptr32
+0x004 stackbase : ptr32
+0x008 stacklimit : ptr32
+0x00c subsystemtib : ptr32
+0x010 fiberdata : ptr32
+0x010 version : uint4b
+0x014 arbitraryuserpointer : ptr32
+0x018 self : ptr32 <——
+0x01c environmentpointer : ptr32
+0x020 clientid : _client_id
+0x000 uniqueprocess : ptr32
+0x004 uniquethread : ptr32
+0x028 activerpchandle : ptr32
+0x02c threadlocalstoragepointer : ptr32
+0x030 processenvironmentblock : ptr32 <——
+0x034 lasterrorvalue : uint4b
+0x038 countofownedcriticalsections : uint4b
+0x03c csrclientthread : ptr32
+0x040 win32threadinfo : ptr32
事不過三,用三個能知道的就可以了
分別是+18
+20+24
然後只需要獲取到pid tid 就可以暴力搜尋了。
+4這樣有點慢 可以0x1000的跳著搜尋。
fs暫存器 資料
fs暫存器指向當前活動執行緒的teb結構 執行緒結構 偏移 說明 000 指向seh鏈指標 004 執行緒堆疊頂部 008 執行緒堆疊底部 00c subsystemtib 010 fiberdata 014 arbitraryuserpointer 018 fs段暫存器在記憶體中的映象位址 teb...
C 使用FS暫存器判斷程序是否被除錯
昨天研究了一下isdebuggerpresent這個函式的實現 發現真的很簡單,只有區區4行 mov eax,dword ptr fs 018h mov eax,dword ptr eax 030h movzx eax,dword ptr eax 02h ret參考了一些大牛的文章,原來第一行是獲取...
VC獲取其他程序ListCtrl內容
vc讀寫其他程序listctrl資料到本程序的例項,下面用windows任務管理器來做測試 1 捕獲視窗控制代碼 用spy 可以看到如下父子視窗關係 新增listctrl,設定style report 關聯控制項變數m listctrl,再新增乙個按鈕,如下圖 4 程式不足 a 在獲取任務管理器 程...