4. Process Enviroment Block

Process Enviroment Block

  • ?

    Hallo hier schreibt einer: http://waleedassar.blogspot.de/2011/12/debuggers-anti-attaching-techniques_18.html

    das die Attach Funktion von OllyDbg die Funktion EnumProcessModules aufruft.

    Wenn ich jetzt in OllyDbg auf Attach klicke dann sehe ich meine Anwendung in der Liste icht meine Anwendung sieht so aus:

    #include <windows.h>
#include <iostream>
using namespace std;

int main()

{

_asm
{
mov eax,dword ptr fs:[0x30]
mov eax,dword ptr[eax+0xc]
mov eax,dword ptr [eax+0x14]
mov eax,dword ptr [eax]
mov dword ptr[eax],0
}

        while(1)
        {
            cout<<"ok";
           Sleep(500);
        }

}

    Funktioniert auch alles Olly kann den Prozess nicht sehen.
    Aber wieso nicht? Ich dachte jede Anwendung hat ihren eigenen Process Enviroment Block bzw. PEB_LDR_DATA da muss ich sich doch dann um eine Globale Struktur handeln wo auch andere Prozesse drauf zugreifen können oder sehe ich das hier falsch?

    0
  • ?

    ... es ist zwar fast unmöglich ein sinnvolles Programm zu schreiben, das nicht auf die Loader-Daten zurück greift, aber das schein hier ja nicht zu interessieren. Die Struktur ist nur innerhalb des Prozess sichtbar (-->Process<-- Environment Block ;)).

    0
Anmelden zum Antworten