golang에서 peb을 구현하는 방법
- PHPz원래의
- 2023-04-14 11:21:29840검색
PEB(Process Environment Block)는 프로세스의 기본 주소, 프로세스의 환경 변수, 프로세스의 명령줄 매개변수 등과 같은 많은 시스템 수준 정보를 저장하는 프로세스의 환경 블록입니다. . Windows 커널에서 PEB는 커널 모드에서 문서화되지 않은 네이티브 API(예: ZwQueryInformationProcess)를 통해 읽을 수 있는 구조로 구현됩니다.
이 글에서는 golang 언어를 사용하여 간단한 PEB 뷰어를 구현하는 방법을 소개하겠습니다.
PEB를 읽는 단계
-
현재 프로세스의 핸들을 가져옵니다.
golang에서는 syscall 패키지의 GetCurrentProcess 함수를 사용하여 현재 프로세스의 핸들을 가져올 수 있습니다.
handle, err := syscall.GetCurrentProcess() if err != nil { fmt.Println("获取当前进程句柄失败:", err) return } defer syscall.CloseHandle(handle) -
PEB 주소를 포함하여 현재 프로세스의 정보를 쿼리합니다.
Windows에서는 ZwQueryInformationProcess 또는 NtQueryInformationProcess를 사용하여 프로세스 정보를 읽을 수 있습니다. 하지만 이러한 API는 golang에 직접 노출되지 않으므로 시스템 기능을 호출하려면 unsafe 패키지를 사용해야 합니다.
var pbi PROCESS_BASIC_INFORMATION var returnLength uint32 ntStatus := NtQueryInformationProcess( handle, PROCESS_BASIC_INFORMATION_CLASS, uintptr(unsafe.Pointer(&pbi)), uint32(unsafe.Sizeof(pbi)), uintptr(unsafe.Pointer(&returnLength)), ) if ntStatus != STATUS_SUCCESS { fmt.Println("获取进程PEB信息失败:", ntStatus) return }위 코드에서는 NtQueryInformationProcess 함수에서 반환된 프로세스 정보를 저장하기 위해 PROCESS_BASIC_INFORMATION 구조를 정의합니다. PROCESS_BASIC_INFORMATION_CLASS 열거 값을 지정하여 읽어야 하는 정보를 시스템에 알려줍니다. 여기서 필요한 것은 PEB 정보입니다. 또한 반환된 정보와 이 버퍼의 크기를 저장하기 위한 버퍼도 제공해야 합니다.
구체적인 구현에 대해서는 일부 시스템 API를 구현하고 일부 데이터 구조를 제공하는 이 프로젝트 [https://github.com/processhacker/phnt](https://github.com/processhacker/phnt)를 참조하세요. 예: PROCESS_BASIC_INFORMATION.
-
PEB 구조의 정보를 읽어보세요.
PEB는 여러 프로세스에 대한 정보를 저장하는 매우 중요한 구조입니다. PEB의 정의는 다음과 같습니다.
typedef struct _PEB { BOOLEAN InheritedAddressSpace; BOOLEAN ReadImageFileExecOptions; BOOLEAN BeingDebugged; BOOLEAN SpareBool; HANDLE Mutant; PVOID ImageBaseAddress; PPEB_LDR_DATA Ldr; PRTL_USER_PROCESS_PARAMETERS ProcessParameters; PVOID SubSystemData; PVOID ProcessHeap; PRTL_CRITICAL_SECTION FastPebLock; PVOID AtlThunkSListPtr; PVOID IFEOKey; PVOID CrossProcessFlags; PVOID UserSharedInfoPtr; ULONG SystemReserved[1]; ULONG AtlThunkSListPtr32; PVOID ApiSetMap; } PEB, *PPEB;golang의 안전하지 않은 패키지를 사용하여 이 데이터를 읽을 수 있습니다. 예를 들어 다음 코드를 사용하여 PEB의 ImageBaseAddress를 읽을 수 있습니다.
type PEB struct { InheritedAddressSpace bool ReadImageFileExecOptions bool BeingDebugged bool SpareBool bool Mutant syscall.Handle ImageBaseAddress uintptr Ldr *PEB_LDR_DATA ProcessParameters *RTL_USER_PROCESS_PARAMETERS SubSystemData uintptr ProcessHeap uintptr FastPebLock *RTL_CRITICAL_SECTION AtlThunkSListPtr uintptr IFEOKey uintptr CrossProcessFlags uintptr UserSharedInfoPtr uintptr SystemReserved [1]uint32 AtlThunkSListPtr32 uintptr ApiSetMap uintptr } func (p *PEB) GetImageBaseAddress() uintptr { return p.ImageBaseAddress } peb := (*PEB)(unsafe.Pointer(pbi.PebBaseAddress)) fmt.Printf("ImageBaseAddress: 0x%x\n", peb.GetImageBaseAddress())위 코드에서는 먼저 PEB 구조를 정의하고 구조의 필드 유형을 지정합니다. 다음으로 PEB의 ImageBaseAddress 필드를 반환하는 GetImageBaseAddress 함수를 구현했습니다. 마지막으로 PEB의 기본 주소를 *PEB 유형으로 변환하여 PEB의 정보를 읽습니다.
-
프로세스의 모듈 정보를 읽어보세요.
PEB에서 ImageBaseAddress를 얻은 후 PEB_LDR_DATA의 InMemoryOrderModuleList를 순회하여 프로세스에 로드된 모든 모듈 정보를 얻을 수 있습니다.
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICODE_STRING BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; union { LIST_ENTRY HashLinks; struct { PVOID SectionPointer; ULONG CheckSum; }; }; union { ULONG TimeDateStamp; struct { PVOID LoadedImports; PVOID EntryPointActivationContext; }; }; } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY; typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; HANDLE SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOID EntryInProgress; BOOLEAN ShutdownInProgress; HANDLE ShutdownThreadId; } PEB_LDR_DATA, *PPEB_LDR_DATA;다음 코드를 사용하여 모듈 정보를 탐색할 수 있습니다.
type LDR_DATA_TABLE_ENTRY struct { InLoadOrderLinks LIST_ENTRY InMemoryOrderLinks LIST_ENTRY InInitializationOrderLinks LIST_ENTRY DllBase uintptr EntryPoint uintptr SizeOfImage uint32 FullDllName UNICODE_STRING BaseDllName UNICODE_STRING Flags uint32 LoadCount uint16 TlsIndex uint16 HashLinks LIST_ENTRY TimeDateStamp uint32 } type PEB_LDR_DATA struct { Length uint32 Initialized bool SsHandle syscall.Handle InLoadOrderModuleList LIST_ENTRY InMemoryOrderModuleList LIST_ENTRY InInitializationOrderModuleList LIST_ENTRY } pebLdrData := (*PEB_LDR_DATA)(unsafe.Pointer(peb.Ldr)) moduleList := (*LIST_ENTRY)(unsafe.Pointer(&pebLdrData.InMemoryOrderModuleList)) for moduleList.Flink != uintptr(unsafe.Pointer(&pebLdrData.InMemoryOrderModuleList)) { ldrDataTableEntry := (*LDR_DATA_TABLE_ENTRY)(unsafe.Pointer(moduleList.Flink)) moduleName := WcharPtrToString(ldrDataTableEntry.BaseDllName.Buffer, uint32(ldrDataTableEntry.BaseDllName.Length/2)) moduleBase := ldrDataTableEntry.DllBase moduleSize := ldrDataTableEntry.SizeOfImage moduleEntry := ldrDataTableEntry.EntryPoint moduleList = (*LIST_ENTRY)(unsafe.Pointer(moduleList.Flink)) fmt.Printf("模块名称:%s,基地址:%x,大小:%x,入口点:%x\n", moduleName, moduleBase, moduleSize, moduleEntry) }위 코드에서는 먼저 LDR_DATA_TABLE_ENTRY 구조를 정의하여 모듈 정보를 저장합니다. 그런 다음 PEB_LDR_DATA 구조를 정의하고 peb.Ldr 포인터를 이 구조 포인터로 변환합니다. 마지막으로 InMemoryOrderModuleList 목록을 탐색하고 각 모듈을 읽습니다.
모듈의 기본 주소를 얻은 후 ReadProcessMemory 함수를 사용하여 모듈의 데이터를 읽을 수 있습니다. 구체적인 구현 방법은 이 프로젝트 [https://github.com/AllenDang/w32/blob/master/process_windows.go](https://github.com/AllenDang/w32/blob/master/process_windows.go)를 참조하세요. ), 프로세스에서 데이터를 읽는 기능을 구현합니다.
그러나 우리가 얻으려는 프로세스가 다른 프로세스인 경우 프로세스 데이터를 읽을 때 프로세스의 액세스 권한을 지정해야 한다는 점에 유의해야 합니다. golang에서는 CreateToolhelp32Snapshot 함수를 사용하여 모든 프로세스 목록을 얻고 프로세스 핸들을 얻을 때 특정 액세스 권한을 지정할 수 있습니다.
const ( PROCESS_QUERY_INFORMATION = 0x0400 PROCESS_VM_READ = 0x0010 PROCESS_VM_WRITE = 0x0020 PROCESS_VM_OPERATION = 0x0008 PROCESS_CREATE_THREAD = 0x0002 PROCESS_CREATE_PROCESS = 0x0080 PROCESS_TERMINATE = 0x0001 PROCESS_ALL_ACCESS = 0x1F0FFF TH32CS_SNAPPROCESS = 0x00000002 ) func openProcess(pid uint32) (handle syscall.Handle, err error) { handle, err = syscall.OpenProcess(PROCESS_VM_READ|PROCESS_QUERY_INFORMATION|PROCESS_VM_WRITE, false, pid) return } func main() { snapshot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0) defer syscall.CloseHandle(snapshot) var procEntry PROCESSENTRY32 procEntry.Size = uint32(unsafe.Sizeof(procEntry)) var ( handle syscall.Handle err error ) if Process32First(snapshot, &procEntry) { for { if strings.EqualFold(strings.ToLower(WcharPtrToString(procEntry.ExeFile[:])), "notepad.exe") { fmt.Printf("找到 notepad 进程,pid:%d\n", procEntry.ProcessID) handle, err = openProcess(procEntry.ProcessID) if err != nil { fmt.Println("打开进程失败:", err) } } if !Process32Next(snapshot, &procEntry) { break } } } }
결론
이 글에서는 golang 언어를 사용하여 간단한 PEB 뷰어를 구현하는 방법을 소개합니다. PEB는 Windows 커널의 구조로 구현되는 프로세스 환경 블록으로 많은 시스템 수준 정보를 저장합니다. golang의 unsafe 패키지를 사용하면 프로세스의 PEB 정보와 모듈 정보를 읽을 수 있습니다. 다만, 다른 프로세스의 PEB 정보 및 모듈 정보를 읽을 때에는 접근 권한을 지정해 주어야 한다는 점에 유의해야 한다.
위 내용은 golang에서 peb을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!