前言：

• 本文主要内容是我对PEB，TEB结构的一些小心得，代码全是这几天学习是手打的，希望对易友们有些帮助。

引入：什么是PEB，TEB

• PEB，全称Process Environment Block（进程环境块）

  • PEB在MSDN中定义如下：

• TEB，全称Thread Environment Block（线程环境块）

  • TEB在MSDN中定义如下：

• 这里必须说明：在研究PEB，TEB结构时，MSDN的参考价值就没有多大了（官网的定义中，基本都是Reserved保留属性，没有什么参考价值），绝大部分资料只能从网络上找来。

• 下面开始代码编写过程。

基本代码（API）准备：

• x86：ReadProcessMemory（读进程数据），WriteProcessMemory（写进程数据），ZwQueryInformationProcess（查询进程信息），ZwQueryInformationThread（查询线程信息）

  • 代码大致如下：，
  • 这里必须提一下：利用ZwQueryInformationProcess查询ProcessBasicInformation得到结构PROCESS_BASIC_INFORMATION，通过PROCESS_BASIC_INFORMATION->PebBaseAddress 从而读出PEB结构的地址，当然，也可以读取fs:[0x30h]得到PEB结构的地址。

• x64：ZwWow64ReadVirtualMemory64（读x64进程数据），ZwWow64WriteVirtualMemory64（写x64进程数据），NtWow64QueryInformationProcess64（读x64进程基本信息）

  • 代码大致如下：

• 好了，代码基本准备齐了，开始下一步吧！

要读什么：

• 这部分均以x86的结构作为研究对象，x64的结构只是偏移和长度的不同而已。

• 首先我们需要看下面的两张图被勾出的部分：

  • 
  • 

• 先谈谈TEB：

  • 基础代码如下：先读出TEB，PEB结构：
    • TEB结构的顶栈保存的是SEH链入口，如果你足够自行的话，你会发现易语言中大部分SEH的代码都是写fs:[0x0h]从而实现的，其实fs:[0x0h]即是TEB结构的顶栈（SEH链入口），这部分略过。
    • 其次：另外的勾出内容保存着线程的一些基本信息（例如PID，TID，纤程等，像GetCurrentThreadId，GetCurrentProcessId这些API其实也是直接读写TEB结构而实现的）：

• 再谈谈PEB：

  • 基础代码：
    • 我们可以看到：PEB的偏移为002h的参数是BeingDebugged，偏移为068h的参数叫NtGlobalFlag，这两个参数经常被作为调试标志来看待，因为当程序被调试器附加的时候，BeingDebugged将会变成真，NtGlobalFlag将会变成70h（= 112），这两个参数也经常在检查OD的代码中出现（不信去看看某某模块，看能不能找到fs寄存器的影子和112这个诡异的值）

能实现什么：

• 现在根据我的了解，利用PEB结构可以读出进程的命令行、进程路径、进程运行目录、进程的DllPath、进程加载的模块。

• 如果你真的想了解这些进程数据是怎么读出来的，而不是拿着一个自己完全看不懂的代码去使用的话，我建议你应该看下文：

  • 进程_取命令行 代码部分的一张图：

• 后面部分，我将以读取InLoadOrderModuleList（模块加载的先后顺序）这个双向链表为例子，来解释。

  • 它们的基本数据类型对应关系如下：
  • 操作过程，我们先读出进程的PEB地址：
  • 接着读出Ldr，利用Ldr地址，读出InLoadOrderModuleList的首地址InLoadOrderModulevector，即_LIST_ENTRY入口处的地址：
  • 读出_LIST_ENTRY入口处的地址又应该怎么枚举这个双向链表呢？先看看这个链表是怎么构成的：
  • 即链表的顶部的地址指向下一个项目，下一个项目又指向下下一个项目……一直指向到_LIST_ENTRY入口，形成一个闭合的链表。
  • 更直观的一幅图：
  • 是的，我们只需要保存入口_LIST_ENTRY的Flink，一直读下去，当下一个地址为入口_LIST_ENTRY的Flink时，就表明我们把链表（每个对象有自己的属性，即DllBase（Dll的基址），EntryPoint（入口点），FullDllName（Dll全名称）等数据）读完了：
  • 注意：InInitializationOrderModuleList的偏移地址需要减去前面两个_LIST_ENTRY的长度，所以它的偏移会有一定下区别。

关于断链：

• Module32First()/Module32Next枚举等模块模块基本是读取InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList这三条链表实现功能的，当我们清除某个Dll在List中的数据（即，将一个结构在链表中断开），这个Dll就实现了R3意义上的隐藏，即我们常说的断链隐藏Dll。
• 实现过程：找到我们需要抹除的Dll的链表位置，将上一个指向修改为下一个Dll数据（即在这个环中将某一链剪下来，然后重新拼接成一个双向链表）：
• 但是，这样也不是万事大吉，有些判断断链的方法根据Dll内存大小来判断链表是否有缺失，于是还需要直接抹除掉这个Dll的链表中DllBase（Dll基址）和EntryPoint（Dll入口点），让这个Dll链彻底被清除。

效果：

• x86测试效果：
• x64测试效果：