本人是在WIN2003 SP2下开发的,请注意不同操作系统的偏移量不同   PEB   EPROCESS->PEB(_PEB)->ProcessParameters((_RTL_USER_PROCESS_PARAMETERS)->ImagePathName(_UNICODE_STRING) void GetProcessName( IN OUT PCHAR pszName){

截止到昨天那里我们的思路就清晰了，通过EPROCESS找到我们要隐藏的进程的ActiveProcessLinks，将双向链表的值修改，就可以将我们想要隐藏的这个进程的ActiveProcessLinks从双向链表中抹去的效果，这里的话如果在windbg里面直接使用ed修改的话是比较方便的，但是如果要使用代码来进行修改的话就需要首先定位到EPROCESS 在ETHREAD的0x220偏移得到Thr

那么我们首先定义_PEB_LDR_DATA和_LDR_DATA_TABLE_ENTRY结构 // LDR链表头typedef struct _PEB_LDR_DATA{DWORD Length;bool Initialized;PVOID SsHandle;LIST_ENTRY InLoadOrderModuleList; // 指向了 InLoadOrderModuleList 链表的第一

每个线程都有一个TEB结构来存储线程的一些属性结构，TEB的地址用fs:[0]来获取，在0x30这个地址有一个指针指向PEB结构 然后定位到PEB，PEB就是进程用来记录自己信息的一个结构，在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DATA结构跟进去 在_PEB_LDR_DATA里有三个双向链表 InLoadOrderModuleList：模块加载的顺序 InMem

PEB结构(Process Envirorment Block Structure)其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附加进程并遍历这段结构即可得到非常多的有用信息。 在应用层下，如果想要得到PEB的基地址只需要取fs:[0x30]即可，TEB线程环境块则是fs:[0x18]，如果在内核层想要得到应用层进程的

概述：用户态查看进程 PEB 和 TEB(通过windbg附加或启动调试的exe) 0x01 用户态查看 TEB 和 PEB 在双机调试的时候，可以直接使用 !PEB PID 和 !TEB TID 获取进程和线程的相关信息，在用户态这两个命令就会失效。原因就是用户态不支持大写的 !TEB 和 !PEB 命令。 在用户态调试时获取 teb 和 peb 的命令是小写的。 #获取 peb