Изучение работы RunPE

skizy · 13.07.2023

всем здравствуйте, хотел бы задать вопрос по поводу того, где я могу найти больше информации по определенным винапи структурам и взаимодействиям с ними? сейчас приведу конкретный пример, с базой винапи я знаком, но сейчас полез смотреть на то, как работает runpe, знаю что это устаревшая технология, но мне кажется нужно с простого начинать. так вот, мне в принципе весь код понятен был, кроме одной секции:

C-подобный:

CTX = (CONTEXT*)malloc(sizeof(CONTEXT));
ZeroMemory(CTX, sizeof(CONTEXT));
CTX->ContextFlags = CONTEXT_FULL;

if (GetThreadContext(pi.hThread, CTX) != 0)
{
    DWORD imageBase = 0;
    ReadProcessMemory(pi.hProcess, LPCVOID(CTX->Ebx + 8), LPVOID(&imageBase), 4, 0);
}

а именно

C-подобный:

ReadProcessMemory(pi.hProcess, LPCVOID(CTX->Ebx + 8), LPVOID(&imageBase), 4, 0);

я начал гуглить, ибо мне было непонятно, почему в регистре в ebx находится адрес на imageBase, но ничего особо полезного не нашел, где подробнее можно почитать о подобном? ну то есть как создаются процессы и тд

clown_boost · 13.07.2023

это просто работает /thread

DildoFagins · 13.07.2023

skizy сказал(а):

почему в регистре в ebx находится адрес на imageBase

В регистре EBX лежит адрес PEB нового процесса, по смещению в 8 байт в струтуре PEB лежит базовый адрес. Более того, под x64 PEB будет в RDX лежать, если мне память не изменяет. Официально читать об этом особо негде, так системный загрузчик работает, это недокументированные вещи. Может если только у каких-то условных Руссиновичей и Ёсивофичей в статьях или книгах.

DoomSlayer2002 · 13.07.2023

DildoFagins сказал(а):

В регистре EBX лежит адрес PEB нового процесса, по смещению в 8 байт в струтуре PEB лежит базовый адрес. Более того, под x64 PEB будет в RDX лежать, если мне память не изменяет. Официально читать об этом особо негде, так системный загрузчик работает, это недокументированные вещи. Может если только у каких-то условных Руссиновичей и Ёсивофичей в статьях или книгах.

в вин11 это до сих пор так?

DildoFagins · 13.07.2023

DoomSlayer2002 сказал(а):

в вин11 это до сих пор так?

Я, если честно, хз. Это такая измученная техника, что я ее уже лет 10 не трогал, и следовательно надобности тестировать и адаптировать к новым системам не было.

0x43rypt0n · 15.07.2023

The image base address is near to PEB and its far 8 bytes from the PEB , an attanetion you can get the PEB and base address using different way like getting them from TEP then Get PEB from PEB and finaly get image base address or you can use GetProcessInformation

skizy · 15.07.2023

0x43rypt0n сказал(а):

The image base address is near to PEB and its far 8 bytes from the PEB , an attanetion you can get the PEB and base address using different way like getting them from TEP then Get PEB from PEB and finaly get image base address or you can use GetProcessInformation

thanks for answers, i already understand that this is PEB

Изучение работы RunPE

skizy

ripper

clown_boost

HDD-drive

DildoFagins

TPU unit

DoomSlayer2002

(L2) cache

DildoFagins

TPU unit

0x43rypt0n

ripper

skizy

ripper