驱动的遍历和隐藏

最新推荐文章于 2023-04-03 20:36:53 发布
最新推荐文章于 2023-04-03 20:36:53 发布
阅读量291 收藏 1
点赞数
分类专栏: 逆向 驱动 Windows 文章标签: 操作系统 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/116766202
版权
逆向 同时被 3 个专栏收录
30 篇文章 4 订阅
订阅专栏
驱动
30 篇文章 5 订阅
订阅专栏
Windows
7 篇文章 2 订阅
订阅专栏

DRIVER_OBJECT

0: kd> dt _DRIVER_OBJECT
nt!_DRIVER_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Int2B
   +0x008 DeviceObject     : Ptr64 _DEVICE_OBJECT
   +0x010 Flags            : Uint4B
   +0x018 DriverStart      : Ptr64 Void
   +0x020 DriverSize       : Uint4B
   +0x028 DriverSection    : Ptr64 Void
   +0x030 DriverExtension  : Ptr64 _DRIVER_EXTENSION
   +0x038 DriverName       : _UNICODE_STRING
   +0x048 HardwareDatabase : Ptr64 _UNICODE_STRING
   +0x050 FastIoDispatch   : Ptr64 _FAST_IO_DISPATCH
   +0x058 DriverInit       : Ptr64     long 
   +0x060 DriverStartIo    : Ptr64     void 
   +0x068 DriverUnload     : Ptr64     void 
   +0x070 MajorFunction    : [28] Ptr64     long

LDR_DATA_TABLE_ENTRY

0: kd> dt _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
   +0x010 InMemoryOrderLinks : _LIST_ENTRY
   +0x020 InInitializationOrderLinks : _LIST_ENTRY
   +0x030 DllBase          : Ptr64 Void
   +0x038 EntryPoint       : Ptr64 Void
   +0x040 SizeOfImage      : Uint4B
   +0x048 FullDllName      : _UNICODE_STRING
   +0x058 BaseDllName      : _UNICODE_STRING
   +0x068 Flags            : Uint4B
   +0x06c LoadCount        : Uint2B
   +0x06e TlsIndex         : Uint2B
   +0x070 HashLinks        : _LIST_ENTRY
   +0x070 SectionPointer   : Ptr64 Void
   +0x078 CheckSum         : Uint4B
   +0x080 TimeDateStamp    : Uint4B
   +0x080 LoadedImports    : Ptr64 Void
   +0x088 EntryPointActivationContext : Ptr64 _ACTIVATION_CONTEXT
   +0x090 PatchInformation : Ptr64 Void
   +0x098 ForwarderLinks   : _LIST_ENTRY
   +0x0a8 ServiceTagLinks  : _LIST_ENTRY
   +0x0b8 StaticLinks      : _LIST_ENTRY
   +0x0c8 ContextInformation : Ptr64 Void
   +0x0d0 OriginalBase     : Uint8B
   +0x0d8 LoadTime         : _LARGE_INTEGER

#include <ntddk.h>

//卸载函数
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	DbgPrint("驱动程序停止运行了.\r\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path)
{
	PLIST_ENTRY DriverList = NULL;
	PLIST_ENTRY NextList = NULL;
	UNICODE_STRING usDriverName;
	PUNICODE_STRING pusDriverName = NULL;
	RtlInitUnicodeString(&usDriverName, L"ntoskrnl.exe");
	DriverList = (PLIST_ENTRY)pDriver->DriverSection;
	NextList = DriverList;
	do 
	{
		//0x58 DriverInit
		pusDriverName = (PUNICODE_STRING)((ULONG64)NextList + 0x58);
		//DbgPrint("%wZ", &pusDriverName);
		if (!RtlCompareUnicodeString(&usDriverName, pusDriverName,TRUE))
		{
			DbgPrint("%wZ", &pusDriverName);
			DbgPrint("0x%X", (ULONG64)NextList);
			return STATUS_SUCCESS;
		}
		NextList = NextList->Flink;
	} while (NextList != DriverList);

	pDriver->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

在Ring0 fs指向KPCR 在Ring3 指向TEB
在x64中,ntoskerl BaseFullName为ntkrnlpa.exe FullDllName为ntoskrnl.exe 所以,获取名称时尽量使用FullDllName

Mikasys
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动对象(DRIVER_OBJECT)
BpLife
12-03 863
每个驱动程序会有唯一的DRIVER_OBJECT驱动对象与之对应,并且这个DRIVER_OBJECT是在驱动加载时候,被内核中的对象管理器所创建。它作为驱动一个实例被内核加载,并且内核对一个驱动只加载一个实例。确切的说,是由内核的I/O管理器负责加载的。驱动程序需要在DriveEntry中初始化。 typedef struct _DRIVER_OBJECT { CSHORT Type;
驱动保护进程_隐藏进程_遍内核句柄
07-02
1、改进程PID,隐藏自己的进程 2、断链隐藏自己的进程,防PG ...5、遍进程的句柄,并降低指定进程PID的句柄权限,里面有遍内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
驱动开发:探索DRIVER_OBJECT驱动对象
CSDN
04-03 7033
本章将探索驱动程序开发的基础部分,了解驱动对象`DRIVER_OBJECT`结构体的定义,一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动名,驱动节等等,每一个驱动程序都会存在这样的一个结构。
Windows内核驱动EPROCESS遍进程模块
12-14
windows驱动进程模块
Windows驱动开发WDM
flyingleo1981的专栏
08-25 1220
Windows驱动 这次重新阅读《windows驱动开发技术详解》(张帆,史彩成等编著),写博客记录一下,用以加深自己对驱动的理解。 驱动对象(DRIVER_OBJECT) 每个驱动程序会有唯一的驱动对象与之对应,并且这个驱动对象是在驱动加载的时候,被内核中的对象管理程序所创建的。 驱动对象用DRIVER_OBJECT来表示,内核对一个驱动只加载一个实例。对于DRIVER_OBJECT的说明,详见:http://msdn.microsoft.com/en-us/library/windows/h
所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3372
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍链表 双链表 不管中间哪个节点都可以遍整个链表 本驱动驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...
Windows驱动开发学习记录-遍内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1761
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
驱动层获取文件大小、遍文件夹、创建文件
03-26
驱动层获取文件大小,遍文件夹、创建文件、隐藏文件
C++非递归遍磁盘文件和递归遍磁盘文件的程序示例
09-04
- 当处理文件时,要确保正确处理文件属性,如隐藏文件和系统文件。 - 在实际应用中,可能需要添加错误处理代码,例如检查磁盘是否可读、文件是否存在等。 - 考虑使用异步或多线程方法来提高遍速度,特别是在处理...
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍隐藏,自己写的,希望大家批评指正,谢谢!
Visual C++遍本地磁盘所有文件夹代码.pdf
11-02
综上所述,通过Visual C++和MFC,我们可以构建一个能够遍本地磁盘文件夹并动态显示在树形控件中的应用程序。这个过程涉及到Windows API的使用,如`CFileFind`的文件查找功能,以及MFC的事件驱动编程,使得用户可以...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2470
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 658
隐藏任意内核驱动
DriverObject->DriverSection结构体LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5679
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
驱动-遍驱动隐藏驱动
chengtoreal的博客
03-05 590
//自定义消息 #define Ergodicdrivelist CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) #define Hidedriver CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) // 遍驱动 void Ergodicdrivelistfun(PIRP Irp) { PIO_STACK_
驱动对象(DRIVER_OBJECT)
YL_WH的专栏
09-06 1050
驱动对象(DRIVER_OBJECT)  每个驱动程序对象代表了一个加载了的内核模式驱动程序映像.这个驱动对象就是以 DRIVER_OBJECT结构体的形式存在的.这个驱动对象的指针从驱动程序的DriverEntry函数 或AddDevice函数的参数传入的. typedef struct {     PDEVICE_OBJECT DeviceObject;     // 设备对
驱动开发:内核遍进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
驱动进程的方法
qq_41071646的博客
10-27 1407
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
驱动开发-遍进程
Fly_Sky
10-18 895
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
windows驱动对象目录的对象
最新发布
09-09
Windows驱动的对象目录,可以通过遍\\Driver和\\FileSystem目录对象来实现。 这两个目录对象属于ObpDirectoryObjectType对象,其中\\Driver\\FileSystem目录对象还包含37个DirectoryEntry对象。所以,通过遍这两个目录对象,可以获取到Windows所有驱动的对象目录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值