(转载)获取Windows 系统的内核变量

最新推荐文章于 2021-03-23 15:16:21 发布
最新推荐文章于 2021-03-23 15:16:21 发布
阅读量1.8k 收藏
点赞数
分类专栏: Windows下的程序设计 文章标签: windows xp struct null microsoft variables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kendiv/article/details/179357
版权

获取Windows 系统的内核变量

转自: http://www.xfocus.net
创建时间:2004-08-05
文章属性:原创
文章提交: tombkeeper (t0mbkeeper_at_hotmail.com)

获取Windows 系统的内核变量


作  者:于旸
邮  件:tombkeeper[0x40]nsfocus[0x2e]com
        tombkeeper[0x40]xfocus[0x2e]org
完成于:2004.07.30
关键字:PsLoadedModuleList、PsActiveProcessHead、NtSystemDebugControl
        PsNtosImageBase、KdVersionBlock、KdDebuggerDataBlock、内核变量



    PsLoadedModuleList等重要内核变量并未被ntoskrnl.exe导出,也没有公开的函
数可以获取。而这些内核变量对于Rootkit、Anti-Rootkit 以及内核溢出的利用等都
是至关重要的。

    下面我们以PsLoadedModuleList、PsActiveProcessHead 等为例,介绍得到这些
变量的方法。

    对于Windows NT 4.0和Windows 2000,尚没有“温柔”的办法可以获取这些变量,
比较理想的办法也就是特征代码搜索,这种方法虽然暴力,但通常都很有效,一般也
不会出问题;对于Windows XP和Windows 2003,我们找到了一些更加优雅的选择。

    下面首先介绍特征代码搜索的方法。

[DWORD KernelBase]

    要进行特征代码搜索,首先要定位ntoskrnl.exe在内核的加载地址KernelBase。
这个地址可以通过ZwQuerySystemInformation Class 10的SystemModuleInformation
来得到。参考资源[1]中给出了相关代码。事实上,KernelBase 这个值对同一操作系
统来说非常固定,可以作为常量来用:

Windows NT:  0x80100000
Windows 2000:0x80400000
Windows XP:  0x804d1000
Windows 2003: 0x804e0000

    Windows NT 4.0 ntoskrnl.exe 的OptionalHeader->ImageBase = 0x80100000,
ntldr 也会按照这个值来加载内核,但是从Windows 2000开始就不是这样了。可能基
于这个历史原因,各系统的*(DWORD *)PsNtosImageBase始终初始化为0x80100000。

    另外,内核变量PsNtosImageBase、KdpNtosImageBase等也指向KernelBase:

KernelBase = *(DWORD *)PsNtosImageBase
KernelBase = *(DWORD *)KdpNtosImageBase

[LIST_ENTRY PsLoadedModuleList]

    PsLoadedModuleList这个全局变量指向一个保存着所加载驱动信息的双向链表。
通过它可以枚举系统中所有的驱动模块。

    虽然很多内核函数都用到了PsLoadedModuleList,但是大部分并没有被导出,而
从基址开始搜会很花时间。对于Windows 2000来说,从下面这个地方入手是个好主意:

nt!MmGetSystemRoutineAddress+0x66:
804f0ed0 8b35f0e84680     mov     esi,[nt!PsLoadedModuleList (8046e8f0)]
804f0ed6 81fef0e84680     cmp     esi,0x8046e8f0

流程如下:
1、ImageBase = LoadLibraryA("ntoskrnl.exe")
2、GetProcAddress(ImageBase,"MmGetSystemRoutineAddress")
3、搜索特征代码:
*(WORD *)(MmGetSystemRoutineAddress + i) = 0x358b && /
*(WORD *)(MmGetSystemRoutineAddress + i + 6) = 0xfe81
&&
*(DWORD *)(MmGetSystemRoutineAddress + i + 2) == /
*(DWORD *)(MmGetSystemRoutineAddress + i + 8)
4、定位内核中的地址:
PsLoadedModuleList = /
*(DWORD *)(MmGetSystemRoutineAddress + i + 2) + (KernelBase - ImageBase)

    从SP0到SP4,i值并不相同,但是肯定不大于0x100。

    对Windows NT来说,就没这么好运气了,没有理想的可用于定位的API,只能从头
开始搜索。下面这段代码至少对SP1~SP6a的来说都具有很好的稳定性和唯一性:
801CEB1C: 8B 4D 08           mov       ecx,dword ptr [ebp+8]
801CEB1F
最低0.47元/天 解锁文章
Kendiv
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 内核 导出的函数 或者 符号
12-30
Windows Kernel Export Function or Sign
Windows内核驱动EPROCESS遍历进程模块
12-14
Windows操作系统中,内核驱动程序是运行在操作系统核心层的代码,它们具有高级权限,可以直接访问硬件资源和系统服务。"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的...
基于wmi module获取windows服务器配置信息
淡定波的博客
03-23 262
闲来无事,写一个简单的python脚本来看看本地电脑的配置。 1、环境准备 pip install wmi 2、实用脚本(win_info.py) 脚本内容如下: #python3:pip install wmi import wmi import os import socket w = wmi.WMI() ''' Win32_Processor 查CPU Win32_ComputerSystem 查内存 Win32_LogicalDisk 查硬盘 ''' #获取计算机名称和IP hostname
驱动中获取PsActiveProcessHead变量地址的五种方法
weixin_33949359的博客
11-24 186
PsActiveProcessHead的定义: 在windows系统中,所有的活动进程都是连在一起的,构成一个双链表,表头是全局变量PsActiveProcessHead,当一个进程被创建时,其ActiveProcessList域将被作为节点加入到此链表中;当进程被删除时,则从此链表中移除,如果windows需要枚举所有的进程,直接操纵此链表即可。 方法一:从Kd...
隐藏进程
yaneng的专栏
06-18 1126
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之中(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1565
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
详解Android获取系统内核版本的方法与实现代码
08-29
Android 获取系统内核版本的方法与实现代码 Android 操作系统是基于 Linux 内核的,获取 Android 系统内核版本号是非常重要的,通过获取内核版本号,可以了解 Android 系统的发展历程和改进方向。下面将详细介绍 ...
Windows内核安全与驱动开发
06-03
Windows内核安全与驱动开发》是一本专为IT专业人士,特别是那些对Windows操作系统底层机制、驱动程序开发以及系统安全感兴趣的读者所准备的教材。它深入浅出地讲解了Windows内核的工作原理,并且详细阐述了如何...
windows内核反附加
最新发布
03-05
Windows内核反附加技术是一种深度防御安全机制,针对恶意代码通过驱动层对系统进行非法操控的防护手段。它通过强化内核模块的安全检测与加载机制,有效防止了未知恶意驱动的偷偷附加和执行,从而有力地保障了系统的...
Windows内核源码详尽分析
05-28
Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大...
易语言隐藏进程模块
08-16
易语言隐藏进程模块源码 系统结构:隐藏进程,用保护型打开进程,提升进程权限,写物理内存,读物理内存,取进程EProcess,十六文本至长整数,取字节集指针_,NtSystemDebugControl,取自进程ID,关闭系
易语言隐藏程序工具
08-21
易语言隐藏程序工具源码系统结构:隐藏托盘图标,取托盘区句柄,GetButtonInfo,FindWindow,FindWindowEx,SendMessage,GetWindowThreadProcessId,OpenProcess,DuplicateHandle,GetCurrentProcess,CloseHandle,VirtualAllocEx,WritePro
易语言修复工具
12-26
可以修复易语言源码错误!源码损坏打不开都能用这个修复,修复完会生成一个备份
大口径KDP晶体高效率串接倍频
02-12
本文给出了串接倍频的原理及两块晶体相对取向的要求.利用两块1.4cm厚的Ⅱ类KDP晶体串接,入射基频激光强度为0.33~0.67GW/cm~2,外转换效率达到60%以上,激光束口径为φ42mm.实验结果与计算值符合很好.本文将L_1=L_2=1.4cm的串接倍频器与厚度分别为3cm和1.4cm的单块晶体倍频器的实验特性作了比较,表明串接倍频器同时兼有单块厚晶体倍频器和单块薄晶体倍频器的优点.
Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 666
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
Windows串口调试通信协议KDCOM.DLL的反向分析及Asm和C源代码
aerror的专栏
09-21 7348
前段时间突然兴趣大发,把KDCOM.DLL用IDA进行了分析和阅读,并导出成asm文件,作了修改和编译使之可以编译后替换原先的kdcom.dll正常工作, 这之间最难的莫过于kdcom.dll无法进行调试和跟踪的问题了, 手段非常有限, 我暂时只知道使用一下Vmware的后门I/O port进行一些检测性的LOG,以致使由反向代码编译出的kdom.dll最终能正常工作花费了我极多的时间.事实上
ZwSystemDebugControl函数
mergerly的专栏
01-25 3509
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
核态获取PsLoadedModuleList地址的稳定方法
温研的专栏 (探索OS内核的奥秘)
09-21 6026
    PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,这些信息可用在AntiRootkit等方面。    由于Windows 2003 Server SP1开始不再支持用户态访问Physical Memory,所以我这介绍一种在内核获取PsLoadedModuleList地址的稳定方法。次方法已在Windows XP S
对Native API NtSystemDebugControl的分析
weixin_30437481的博客
10-02 89
创建时间:2004-08-05 文章属性:原创 文章提交:tombkeeper (t0mbkeeper_at_hotmail.com) 对Native API NtSystemDebugControl的分析 作 者:于旸 邮 件:tombkeeper[0x40]nsfocus[0x2e]com tombkeeper[0x40]xfocus[0x2e]o...
Windows内核原理与实现1
08-04
在深入探讨Windows内核之前,我们先理解一下操作系统的基本构造。操作系统是计算机系统的核心部分,它在硬件和应用软件之间扮演着中介的角色,为用户提供一个与硬件无关的抽象层。在Windows系统中,这种抽象层使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值