我正在尝试实际学习如何到达 TEB 内部的 PEB。我已经尝试过,windbg但无法使用以下内容转储 PEB:
!peb
或者
dt nt!_PEB_LDR_DATA
和别的。但是,我无法将 PEB 丢弃。所以我最喜欢的调试器仍然是immunitydbg. 所以,我试图使用immunitydbgCLI获取信息。但我设法到达 PEB 的最近的事情是倾倒 TEB。
d fs:[0]
那么,无论如何,我在免疫内部是否可以获取 TEB/PEB 的内容?我也尝试使用OllysdbgPE Dump 插件,但这只给了我另一个内容不同的 exe 文件。而且我不确定 PE 插件是否适合我。
在 OllyDbg/ImmunityDbg 中打开 Memory Map 窗口,向下滚动到底部,然后双击包含Process Environment Block. 这将在 OllyDbg/ImmunityDbg 中打开 PEB 的转储:
alt + f1 d fs:[30] ollydbg 1.10 raw peb
同stolly plugin为1.10select the first byte在dump->right click->sructure
select _peb 从下拉框解码PEB。
al+g fs:[30] in ollydbg 2.01 fully decoded _peb in dump / disasm window