Получить полный путь к exe из PEB?

Сейчас на форуме: _MBK_, Adler (+4 невидимых)

Посл.ответ	Сообщение
Airenikus Ранг: 88.2 (постоянный), 111thx Активность: 0.07↘0.01 Статус: Участник	Создано: 12 апреля 2011 16:50 · Личное сообщение · #1 Можно ли? Нужен код на асме Сам нарыл такое: Code: MOV EAX,DWORD PTR FS:[30] MOV EAX,DWORD PTR DS:[EAX+10] LEA ESI,DWORD PTR DS:[EAX+290] Получаем указатель на PEB, затем указатель на RTL_USER_PROCESS_PARAMETERS, затем в esi получаем юникод строку пути загрузки бинарника. А вот как получить полный путь - папка+файл? Да еще и в ASCII

NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 12 апреля 2011 17:31 · Личное сообщение · #2 lea esi,[eax+7с4] в аски ты не получишь,только самому перевести.
Wally Ранг: 5.5 (гость), 3thx Активность: 0.01↘0 Статус: Участник	Создано: 12 апреля 2011 17:42 · Личное сообщение · #3 Полный путь с именем файла в юникод режиме Code: MOV EAX,FS:[18] MOV EAX,[EAX+30] MOV EAX,[EAX+C] ADD EAX,0C MOV ESI,[EAX] LEA ESI,[ESI+28] MOV ESI,[ESI]
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 12 апреля 2011 18:10 · Личное сообщение · #4 Code: .586 .model flat, stdcall option casemap :none assume fs:nothing include \MASM32\INCLUDE\kernel32.inc include \MASM32\INCLUDE\user32.inc include \MASM32\INCLUDE\ntdll.inc includelib \MASM32\LIB\kernel32.lib includelib \MASM32\LIB\user32.lib includelib \MASM32\LIB\ntdll.lib .data tit db "Path:", 0 .data? SourceString db 8 dup (?) DestinationString db 8 dup (?) .code start: mov eax,dword ptr fs:[018h] mov eax,dword ptr ds:[eax+030h] mov eax,dword ptr ds:[eax+010h] mov ecx,dword ptr ds:[eax+040h] mov eax,dword ptr ds:[eax+044h] mov dword ptr ds:[SourceString],ecx mov dword ptr ds:[SourceString+4],eax push 1 push offset SourceString push offset DestinationString call RtlUnicodeStringToAnsiString mov eax, DWORD PTR DS:[DestinationString+4] push 0 push offset tit push eax push 0 call MessageBoxA push 0 call ExitProcess end start ----- Nulla aetas ad discendum sera
cppasm Ранг: 251.3 (наставник), 81thx Активность: 0.14↘0.11 Статус: Участник	Создано: 12 апреля 2011 18:40 · Поправил: cppasm · Личное сообщение · #5 Если есть возможность вызывать API (RtlUnicodeStringToAnsiString), почему тогда сразу не вызвать GetCommandLineA и отрезать все параметры после имени образа? Переносимость выше чем работа с PEB.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 12 апреля 2011 19:18 · Поправил: ELF_7719116 · Личное сообщение · #6 Airenikus Может нужен путь другого процесса? Обычно через Peb читают именно в таком раскладе. Из unicode в ascii быстрее: Code: MOV ESI, offset unicode_str MOV EDI, offset ascii_str NXT: MOVSB ADD ESI, 1 CMP WORD [ESI],0 JNE NXT MOV [EDI],0
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 12 апреля 2011 19:26 · Личное сообщение · #7 ELF_7719116 Если в строке unicode будут русские буквы, то в ascii получится лажа ----- Nulla aetas ad discendum sera
Airenikus Ранг: 88.2 (постоянный), 111thx Активность: 0.07↘0.01 Статус: Участник	Создано: 12 апреля 2011 19:41 · Личное сообщение · #8 Нужен путь именно для своего процесса. Мне бы без API А то как бэ: Code: push MAX_PATH push offset PATH push 0 call kernel32.GetModuleFileNameA
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 12 апреля 2011 20:13 · Личное сообщение · #9 Airenikus пишет: Нужен путь именно для своего процесса. Мне бы без API А то как бэ Шеллкодес. ----- Лучше быть одиноким, но свободным © $me
s0l Ранг: 60.6 (постоянный), 20thx Активность: 0.07↘0 Статус: Участник	Создано: 13 апреля 2011 02:25 · Поправил: s0l · Личное сообщение · #10 Airenikus пишет: Мне бы без API Получаешь KernelBase, парсишь экспорт и оттуда уже вызываешь API(без них никуда:s6 Сам недавно парился: https://ssl.exelab.ru/f/action=vthread&forum=2&topic=17908&page=0#6

Для печати