关于LDR的疑问与探索

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量2k 收藏 3
点赞数
分类专栏: 内核安全 文章标签: module LDR 进程链 LDR-MODULE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nightsay/article/details/46238953
版权
本文探讨了Windows系统中LDR_MODULE结构及其与PEB_LDR_DATA中的三个链表InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList的关系。通过实例分析,揭示了链表遍历的问题,并解释了不同链表在加载和初始化顺序上的差异。
摘要由CSDN通过智能技术生成

之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。

在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……

关于结构LDR_MODULE的定义:

typedef struct _LDR_MODULE 
{ 
    LIST_ENTRY InLoadOrderModuleList; //按加载模块顺序构成的模块链表
    LIST_ENTRY InMemoryOrderModuleList; //按内存顺序的模块链表
    LIST_ENTRY InInitializationOrderModuleList; //按初始化顺序的模块链表
    PVOID BaseAddress; //模块的基地址
    PVOID EntryPoint; //模块的入口
    ULONG SizeOfImage; //模块镜像大小
    UNICODE_STRING FullDllName; //路径名
    UNICODE_STRING BaseDllName; //模块名
    ULONG Flags; 
    SHORT LoadCount; //引用计数
    SHORT TlsIndex; 
    LIST_ENTRY HashTableEntry; 
    ULONG TimeDateStamp; 
} LDR_MODULE, *PLDR_MODULE;

而后来我在查看PEB_LDR_DATA结构的时候:

typedef struct _PEB_LDR_DATA
{ 
    ULONG Length; 
    BOOLEAN Initialized; 
    HANDLE SsHandle; 
    LIST_ENTRY InLoadOrderModuleList; 
    LIST_ENTRY InMemoryOrderModuleList; 
    LIST_ENTRY InInitializationOrderModuleList; 
    PVOID EntryInProgress; 
} PEB_LDR_DATA, *PPEB_LDR_DATA;

也发现了这三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList
那么这三个链表存在于两个结构中,到底有和对应的关系呢?

编写了一个程序helloworld.exe,windbg载入:

0:000> !peb
PEB at 7efde000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         01000000
   ..........

0:000> dt _PEB 7efde000
ntdll!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''
   +0x003 BitField         : 0x8 ''
   +0x003 ImageUsesLargePages : 0y0
   +0x003 IsProtectedProcess : 0y0
   +0x003 IsLegacyProcess  : 0y0
   +0x003 IsImageDynamicallyRelocated : 0y1
   +0x003 SkipPatchingUser32Forwarders : 0y0
   +0x003 SpareBits        : 0y000
   +0x004 Mutant           : 0xffffffff Void
   +0x008 ImageBaseAddress : 0x01000000 Void
   +0x00c Ldr              : 0x77d90200 _PEB_LDR_DATA
   +0x010 ProcessParameters : 0x00421918 _RTL_USER_PROCESS_PARAMETERS
    ..................

0:000> dt  _PEB_LDR_DATA 0x77d90200
ntdll!_PEB_LDR_DATA
   +0x000 Length           : 0x30
   +0x004 Initialized      : 0x1 ''
   +0x008 SsHandle         : (null) 
   +0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x593510 - 0x5941a8 ]
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY [ 0x593518 - 0x5941b0 ]
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY [ 0x5935b0 - 0x5941b8 ]
   +0x024 EntryInProgress  : (null) 
   +0x028 ShutdownInProgress : 0 ''
   +0x02c ShutdownThreadId : (null) 



0:000> dt _LDR_DATA_TABLE_ENTRY 0X593510
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x5935a0 - 0x77d9020c ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0x5935a8 - 0x77d90214 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x018 DllBase          : 0x01360000 Void
   +0x01c EntryPoint       : 0x0137110e Void
   +0x020 SizeOfImage      : 0x1c000
   +0x024 FullDllName      : _UNICODE_STRING "F:\helloworld.exe"
   +0x02c BaseDllName      : _UNICODE_STRING "helloworld.exe"
   +0x034 Flags            : 0x4000
   +0x038 LoadCount        : 0xffff
   +0x03a TlsIndex         : 0
   +0x03c HashLinks        : _LIST_ENTRY [ 0x77d948a0 - 0x77d948a0 ]
   +0x03c SectionPointer   : 0x77d948a0 Void
   +0x040 CheckSum         : 0x77d948a0
   +0x044 TimeDateStamp    : 0x548284c9
   +0x044 LoadedImports    : 0x548284c9 Void
   +0x048 EntryPointActivationContext : (null) 
   +0x04c PatchInformation : (null) 
   +0x050 ForwarderLinks   : _LIST_ENTRY [ 0x593560 - 0x593560 ]
   +0x058 ServiceTagLinks  : _LIST_ENTRY [ 0x593568 - 0x593568 ]
   +0x060 StaticLinks      : _LIST_ENTRY [ 0x594288 - 0x594260 ]
   +0x068 ContextInformation : 0x77ccc984 Void
   +0x06c OriginalBase     : 0
   +0x070 LoadTime         : _LARGE_INTEGER 0x0

可以看到windbg中的_LDR_DATA_TABLE_ENTRY就是对应着LDR_MODULE结构,三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList都分别对应着各自的LDR_MODULE结构
用图来表示如下
这里写图片描述
由该图可知,三个链表结构被PEB_LDR_DATA和LDR_MODULE结构共用

这里写图片描述

那么这三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList又都有什么区别呢?

用上面那个测试程序:
InLoadOrderModuleList 加载模块顺序构成的模块链表进行调试

//针对0x593510链表的flink进行遍历
+0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x593510 - 0x5941a8 ]
..................

0:000> dt _LIST_ENTRY 0X593510
ntdll!_LIST_ENTRY
 [ 0x5935a0 - 0x77d9020c ]
   +0x000 Flink            : 0x005935a0 _LIST_ENTRY [ 0x593920 - 0x593510 ]
   +0x004 Blink            : 0x77d9020c _LIST_ENTRY [ 0x593510 - 0x5941a8 ]

0:000> dt _LIST_ENTRY 0X5935a0
ntdll!_LIST_ENTRY
 [ 0x593920 - 0x593510 ]
   +0x000 Flink            : 0x00593920 _LIST_ENTRY [ 0x593a38 - 0x5935a0 ]
   +0x004 Blink            : 0x00593510 _LIST_ENTRY [ 0x5935a0 - 0x77d9020c ]

0:000> dt _LIST_ENTRY 0X593920
ntdll!_LIST_ENTRY
 [ 0x593a38 - 0x5935a0 ]
   +0x000 Flink            : 0x00593a38 _LIST_ENTRY [ 0x5941a8 - 0x593920 ]
   +0x004 Blink            :
最低0.47元/天 解锁文章
Nightsay
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Windows应用程序加载DLL的总结
mmilmf的专栏
03-16 1866
0x00 背景 最近在开发项目上遇到一个奇怪的问题,项目使用到OPENSSL库,进行加密,某个DLL(A.DLL)对该库进行封装后调用。EXE对A.DLL采用动态接的方式进行加载,调动里面的函数之后,使用FreeLibrary释放DLL。 结果竟然没有卸载掉该DLL。这就突破了我的认知了,我的见识里面所了解到的加载DLL方式包括两种: 隐式接:程序运行时DLL被加载进来,等待程序结束之后,卸载加载的DLL。 动态接:程序使用LoadLibaray(Ex)等函数加载DLL,到不需要时主要使用Fre
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 946
_LDR_DATA_TABLE_ENTRY结构体
PEB-------------模块Ldr
weixin_30316097的博客
07-30 709
一、xp下peb结构 kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutan...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1590
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
【原创】LDR调试手记
OSReact的专栏
07-12 3866
LDR调试手记    无论是编写ShellCode还是外壳程序,都需要动态的获取各个api的实际地址,最通用的方法之一,莫过于通过得到各个DLL模块的基址,再遍历其导出表。其中,获得各个模块基址中,通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结,于是就有了这一篇手记。 1.认识LDR   FS段寄存器作为选择子指向当前的活动线程的TE
ARM汇编中ldr与adr的区别
07-25
### ARM汇编中ldr与adr的区别 在ARM汇编语言编程中,`ldr`与`adr`是非常重要的两条指令,它们分别用于加载数据和获取地址。这两条指令虽然功能相似,但在具体应用场合中有着本质的区别。下面将详细介绍这两条指令的...
LDR.rar_LDR
09-23
programa en C muy sencillo en el que mediante un sensor de luz encendemos una serie de diodos LED en función de la intensidad de luz que capta el sensor
LDR.rar_LDR_arm ldr_ldr arm
09-22
LDR还可以与预增量、后递减等操作结合,如LDR R0, [R1], #4,这会先将R1加4,然后从新地址读取数据到R0。 LDR指令还有几个变体,如LDRB加载字节,LDRH加载半字,LDRSH加载带符号的半字(字节对齐),LDRSB加载带...
ARM汇编中LDR伪指令和LDR指令
08-14
ARM汇编中LDR伪指令和LDR指令 ARM汇编语言中,LDR伪指令和LDR指令是两个非常重要的概念,它们都是用于加载数据从内存到寄存器中的,但它们的作用和用法却有所不同。 首先,LDR指令是ARM架构中的 Load 指令,它用于...
LDR.zip_Dark_LDR_light sensor
09-22
1. **匹配阻抗**:为了有效读取LDR的电阻变化,需要与合适的分压电阻配合,以确保信号在合适的范围内。 2. **温度影响**:LDR的电阻也会受到温度变化的影响,设计时需考虑温度补偿。 3. **保护措施**:为防止过电压...
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1773
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
模块隐藏(LDR_MODULE 与 PE特征)
零点起步
04-14 7637
比较常见的模块隐藏方法有抹去模块的PE头,断开进程LDR_MODULE,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
获取动态库中Windows API的地址(以ntdll.dll为例子)
南七行者的博客
12-23 1548
一、任务 打印Windows 2003中ntdll.dll的所有函数名及其地址。 二、流程 1.获取ntdll.dll的基址 (1)汇编代码 unsigned long addr; __asm{ mov eax, fs:30h; mov eax, [eax+0ch]; mov ebx, [eax+1ch]; mov eax, [ebx+8]; mov addr, eax; }; (2)解读 ①mov eax,
病毒分析技巧之API地址获取
蚁景网安学院
02-24 1070
点击蓝字关注我们0x00目的 通过该实验,使学生掌握使用PEB结构确定kernel32.dll基地址的方法与原理,通过对PE导出表结构分析来理解获取API函数地址的方法,最终通过编码完...
win7x64下实现进程保护
操作系统内核与逆向工程
06-05 1万+
以前没有PG的时候,相信绝大部分人都是用的SSDT HOOK 来进行进程保护的。等有了PG该怎么办呢?答案就是用微软提供的 ObRegisterCallbacks 函数。 NTSTATUSObRegisterCallbacks ( _In_ POB_CALLBACK_REGISTRATION CallbackRegistration, _Outptr_ PVOID *Regi
LDR_MODULE结构的详细定义
dozelive技术分享
11-13 2348
LDR_MODULE结构的详细定义typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//代表按加载顺序构成的模块表 LIST_ENTRY InMemoryOrderModuleList;//代表按内存顺序构成的模块表 LIST_ENTRY InIni
ADSP-BF533 Blackfin处理器ldr文件格式详解与下载指南
为了获取更多关于ADI DSP工具和技术的支持,读者可以访问ADI的Web资源(<http://www.analog.com/ee-notes> 和 ),或者通过电子邮件联系指定的技术支持地址:processor.support@analog.com 或 processor.tools....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值