32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块

已于 2023-07-09 14:02:16 修改
阅读量483 收藏 3
点赞数 1
分类专栏: MFCC++编程 驱动开发 文章标签: windows 单片机 stm32 驱动开发 服务器 嵌入式硬件
于 2023-07-09 14:01:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131622257
版权

32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块

PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,
利用它可以枚举所有这些模块的信息,这些信息可用在AntiRootkit等方面

一、驱动层添加一个筛选器 为遍历对象回调勾子信息,在加一个遍历对象回调勾子信息.c文件

在这里插入图片描述
代码如下:

#include<ntifs.h>

static ULONG ObjectCallbackListOffset = 0;
extern PSHORT NtBuildNumber;
//根据地址 判断所属驱动模块
BOOLEAN ObGetDriverNameByPoint(ULONG_PTR Point,OUT WCHAR* szDriverName);
//获取PsLoadedModuleList地址,方便判断地址所属模块
PVOID GetPsLoadedListModule();
PVOID GetMovPoint(PVOID pCallPoint);

//获取未文档化的函数
PVOID GetUndocumentFunctionAddress(IN PUNICODE_STRING pFunName,
	IN PUCHAR pStartAddress,
	IN UCHAR* pFeatureCode,
	IN ULONG FeatureCodeNum,
	ULONG SerSize,
	UCHAR SegCode,
	ULONG AddNum,
	BOOLEAN ByName);

//遍历所有 进程  线程  注册的ObRegisterCallBacks回调
ULONG EnumObRegisterCallBacks();




typedef struct _LDR_DATA
{
   
	/*0x000*/     struct _LIST_ENTRY InLoadOrderLinks;
	/*0x010*/     struct _LIST_ENTRY InMemoryOrderLinks;
	/*0x020*/     struct _LIST_ENTRY InInitializationOrderLinks;
	/*0x030*/     VOID*        DllBase;
	/*0x038*/     VOID*        EntryPoint;
	/*0x040*/     ULONG32      SizeOfImage;
	/*0x044*/     UINT8        _PADDING0_[0x4];
	/*0x048*/     struct _UNICODE_STRING FullDllName;
	/*0x058*/     struct _UNICODE_STRING BaseDllName;
	/*0x068*/     ULONG32      Flags;
	/*0x06C*/     UINT16       LoadCount;
	/*0x06E*/     UINT16       TlsIndex;
	union
	{
   
		/*0x070*/         struct _LIST_ENTRY HashLinks;
		struct
		{
   
			/*0x070*/             VOID*        SectionPointer;
			/*0x078*/             ULONG32      CheckSum;
			/*0x07C*/             UINT8        _PADDING1_[0x4];
		};
	};
	union
	{
   
		/*0x080*/         ULONG32      TimeDateStamp;
		/*0x080*/         VOID*        LoadedImports;
	};
	/*0x088*/     struct _ACTIVATION_CONTEXT* EntryPointActivationContext;
	/*0x090*/     VOID*        PatchInformation;
	/*0x098*/     struct _LIST_ENTRY ForwarderLinks;
	/*0x0A8*/     struct _LIST_ENTRY ServiceTagLinks;
	/*0x0B8*/     struct _LIST_ENTRY StaticLinks;
	/*0x0C8*/     VOID*        ContextInformation;
	/*0x0D0*/     UINT64       OriginalBase;
	/*0x0D8*/     union _LARGE_INTEGER LoadTime;
}LDR_DATA, *PLDR_DATA;

//这里字节对齐要采用默认,不要按1对齐,这样才符合32位和64位结构体
typedef struct _LDR_DATA_TABLE_ENTRY
{
   
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;//模块基址
	PVOID EntryPoint;//入口点
	ULONG SizeOfImage;//模块大小
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union
	{
   
		LIST_ENTRY HashLinks;
		struct
		{
   
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union
	{
   
		struct
		{
   
			ULONG TimeDateStamp;
		};
		struct
		{
   
			PVOID LoadedImports;
		};
	};
	struct _ACTIVATION_CONTEXT * EntryPointActivationContext;
	PVOID PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef struct _OPERATION_INFO_ENTRY
{
   
	LIST_ENTRY    ListEntry;
	OB_OPERATION  Operation;
	ULONG         Flags;
	PVOID         Object;
	POBJECT_TYPE  ObjectType;
	ACCESS_MASK   AccessMask;
	ULONG32 time;
} OPERATION_INFO_ENTRY, *POPERATION_INFO_ENTRY;

typedef struct _CALL_BACK_INFO
{
   
	ULONG64 Unknow;
	ULONG64 Unknow1;
	UNICODE_STRING AltitudeString;
	LIST_ENTRY NextEntryItemList; //(callbacklist) 跟上面开头的那个一样 存储下一个callbacklist
	ULONG64 Operations;
	PVOID ObHandle; //存储详细的数据 版本号 POB_OPERATION_REGISTRATION AltitudeString 也就是本身节点CALL_BACK_INFO 注销时也使用这个 注意是指针 //CALL_BACK_INFO
	PVOID ObjectType;
	ULONG64 PreCallbackAddr;
	ULONG64 PostCallbackAddr;
}CALL_BACK_INFO, *PCALL_BACK_INFO;

typedef struct _OB_CALLBACK
{
   
	LIST_ENTRY	ListEntry;
	ULONG64		Operations;
	PCALL_BACK_INFO		ObHandle;
	ULONG64		ObjTypeAddr;
	ULONG64		PreCall;
	ULONG64		PostCall;
} OB_CALLBACK, *POB_CALLBACK;



BOOLEAN GetVersionAndHardCode()
{
   
	BOOLEAN b
最低0.47元/天 解锁文章
a756598009
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows内核驱动EPROCESS遍历进程模块
12-14
总的来说,"Windows内核驱动EPROCESS遍历进程模块"是一项深入的操作系统级任务,它可以帮助我们更好地理解和监控系统运行状态,但同时也需要开发者具备高级的编程技能和对系统安全的深刻理解。通过学习和实践这一...
32位/64位WINDOWS驱动遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
a756598009的博客
01-21 989
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
4.6 Windows驱动开发:内核遍历进程VAD结构体
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
x64驱动 遍历驱动模块
LYSM
07-02 2151
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
WIN32 C++ 遍历系统的进程和线程
r5014的博客[Eosin_Sky]
06-18 753
使用大搜头 遍历系统的进程: int DisplayAllProcess() { int i = 0; char Buff[9]; PROCESSENTRY32 pe32; pe32.dwSize = sizeof(pe32); int processid = GetCurrentProcessId(); HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hProcessSn.
4.2 Windows驱动开发:内核中进程线程与模块
热门推荐
CSDN
11-17 1万+
内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分,用于管理系统资源和处理系统请求。在驱动安全开发中,理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符(PID),它用于在系统中唯一地标识该进程。在内核中,进程被表示为一个进程控制块(PCB),它包含有关进程的信息,如进程状态、优先级、内存使用情况等。
驱动遍历进程的方法
qq_41071646的博客
10-27 1409
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
驱动开发:内核操作进线程与模块
CSDN
10-21 5564
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
遍历创建进程、创建线程、加载模块的回调函数
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1250
今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理 这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp下最大数组数量为8,win7下为64 既然要找
进程遍历(枚举),模块遍历,线程遍历,进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1609
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformation,ZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
Python英语单词整理.pdf
09-03
51. **process** / **thread**:进程和线程,涉及多任务处理。 52. **regular** / **pattern** / **match** / **search** / **compile**:正则表达式,用于模式匹配和搜索文本。 53. **unit** / **test**:单元...
Java如何获取当前进程ID以及所有Java进程的进程ID
08-30
for (Object process : vmlist) { MonitoredVm vm = local.getMonitoredVm(new VmIdentifier("//" + process)); String processname = MonitoredVmUtil.mainClass(vm, true); System.out.println(process + " --...
Java并发编程示例(四):可控的线程中断
09-04
调用`Thread.interrupt()`方法会设置当前线程的中断标志,并且如果线程在阻塞状态(如等待I/O或在`Object.wait()`,`Thread.sleep()`或`Thread.join()`中),则会抛出`InterruptedException`。然而,对于那些没有...
大学计算机专业英语考试.pdf
10-10
1. **进程(Process)**:计算机中的一个执行实体,是操作系统分配资源的基本单位,包含程序、数据和进程控制块。 2. **线程(Thread)**:进程内的执行流,是CPU调度的基本单位,多个线程可以在同一进程中并发执行...
C++STL初阶(8):list的简易实现(上)
最新发布
2301_79501467的博客
07-24 512
简易实现List的前半部分内容(不包括各类构造)
SpringBoot源码(1)ApplicationContext和BeanFactory
weixin_43823462的博客
07-21 785
SpringBoot源码之ApplicationContext和BeanFactory
百日筑基第二十七天-Java8 stream流常用操作
qq_45477639的博客
07-21 790
除了使用Collectors提供了toMap,toList等方法之外,我们还可以自定义Collection的数据结构收集//用LinkedList收集//用TreeSet收集。
c++中的递归拷贝(Recursive Copy)和递归反转链表(Recursive Reverse Linked List
2401_84159494的博客
07-24 726
hello大家好啊,这里是文宇,不是文字,是文宇哦。今日二更结束,睡觉。
Windows C语言驱动遍历进程获取进程参数
05-30
要在Windows C语言驱动程序中遍历进程并获取进程参数,可以使用以下步骤: 1. 获取当前进程的EPROCESS结构体指针,可以使用PsGetCurrentProcess函数。 2. 使用PsLookupProcessByProcessId函数遍历系统中所有的进程并获取每个进程的EPROCESS结构体指针。 3. 遍历每个进程的双向链表来获取进程参数,可以使用以下代码: ``` PEB* peb = PsGetProcessPeb(Process); // 获取进程的PEB结构体指针 RTL_USER_PROCESS_PARAMETERS* params = peb->ProcessParameters; // 获取进程参数结构体指针 UNICODE_STRING imagePath = params->ImagePathName; // 获取进程的可执行文件路径 ``` 注意:在驱动程序中访问用户空间的数据需要使用特殊函数,如ProbeForRead和ProbeForWrite,以确保内存访问的安全性。此外,要在驱动程序中进行此类操作需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值