f2h2h1's blog
·
Windows下通过PEB读取进程的环境变量
💡
原文中文,约7100字,阅读约需17分钟。
📝
内容提要
在Windows中,无法直接通过API读取进程环境变量,需要通过PEB(进程环境块)实现。PEB结构复杂,且不同Windows版本存在差异。获取环境变量需通过一系列API调用,包括获取进程ID、句柄和读取内存等。示例脚本展示了如何使用PowerShell读取PEB中的环境变量,但兼容性较差。
🎯
关键要点
- Windows下无法直接通过API读取进程环境变量,需通过PEB实现。
- PEB结构复杂,不同Windows版本存在差异,包含执行目录、可执行文件路径、命令行等信息。
- 获取进程ID和句柄的方式多样,需使用OpenProcess和NtQueryInformationProcess等API。
- 在Windows 10下,可以通过ProcessParameters中的EnvironmentSize获取环境变量长度。
- 读取结果为连续字符串,使用\0字符分隔环境变量,两个连续的\0字符表示结束。
- PEB和相关API的文档中常有未来版本可能修改的声明。
- 示例脚本使用PowerShell读取PEB中的环境变量,但兼容性差,仅适用于64位Windows 10。
- PEB结构在不同Windows版本和位数间存在差异,编写兼容性好的脚本较为复杂。
- 需确认当前Windows版本并查找对应PEB结构,使用ReadProcessMemory读取进程数据。
🏷️
标签
➡️
