驱动下Wow64栈回溯和进程模块枚举

最新推荐文章于 2021-04-12 20:27:26 发布
最新推荐文章于 2021-04-12 20:27:26 发布
阅读量2.9k 收藏 4
点赞数 1
分类专栏: 原创 Windows 文章标签: windows 驱动 wow64 模块枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angelxf/article/details/101520561
版权

很久没写驱动代码,最近又摸了一下。

在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。

堆栈回溯

驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下:

ULONG
RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags);
//Callers一个PVOID数组,保存栈中retaddr值
//Count表示数组大小
//Flags=0获取内核层栈信息,=1获取应用层栈信息
//返回值表示栈的层数

还有其他函数,未使用:

VOID
RtlGetCallersAddress(
    OUT PVOID *CallersAddress, //address to save the first caller.
    OUT PVOID *CallersCaller   //address to save the second caller.
)
RtlCaptureStackBackTrace

其实对于单纯的x86(ring3)->x86(ring0),和x64(ring3)->x64(ring0)没甚么好说的,就是普通的栈信息。

我这里要着重提的是x86(ring3)->x64(ring0),也就是64位系统的32位程序在进行系统调用时的堆栈(称为Wow64)。

先看看CreateFile的栈信息。Windbg并不能直接通过k显示wow64到内核的所有栈信息,wow64部分需要通过扩展指令切换,具体如下:

1: kd> kvn
 # Child-SP          RetAddr           : Args to Child                                                           : Call Site
05 fffff880`026cf940 fffff800`041dc574 : 00000000`0027e0d8 fffff960`c0100080 00000000`0027e9a0 00000000`0027e0f0 : nt!IopCreateFile+0x2bc
06 fffff880`026cf9e0 fffff800`03ecf693 : fffffa80`19646060 fffff880`026cfb60 00000000`0027e028 00000000`fffffffc : nt!NtCreateFile+0x78
07 fffff880`026cfa70 00000000`7796c08a : 00000000`73c8c1ff 00000000`001deeb0 00000000`001deec8 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ fffff880`026cfae0)
08 00000000`0027e068 00000000`73c8c1ff : 00000000`001deeb0 00000000`001deec8 00000000`00000000 00000000`00000000 : ntdll!ZwCreateFile+0xa
09 00000000`0027e070 00000000`73c7d18f : 00000000`001deeb0 00000000`00000000 00000000`00000000 00000000`00000060 : wow64!whNtCreateFile+0x10f
0a 00000000`0027e140 00000000`73c02776 : 00000000`76c572b9 00000000`73c70023 00000000`00000246 00000000`001dee38 : wow64!Wow64SystemServiceEx+0xd7
0b 00000000`0027ea00 00000000`73c7d286 : 00000000`00000000 00000000`73c01920 00000000`77a303c8 00000000`7794ca81 : wow64cpu!ServiceNoTurbo+0x2d
0c 00000000`0027eac0 00000000`73c7c69e : 00000000`00000000 00000000`00000000 00000000`73c74b10 00000000`7ffe0030 : wow64!RunCpuSimulation+0xa
0d 00000000`0027eb10 00000000`7795f9b6 : 00000000`00332db0 00000000`00000000 00000000`77a4d670 00000000`77a20910 : wow64!Wow64LdrpInitialize+0x42a
0e 00000000`0027f060 00000000`779bbb89 : 00000000`00000000 00000000`7795f1d1 00000000`0027f610 00000000`00000000 : ntdll!LdrpInitializeProcess+0x17e3
0f 00000000`0027f550 00000000`7794a0ee : 00000000`0027f610 00000000`00000000 00000000`7efdf000 00000000`00000000 : ntdll! ?? ::FNODOBFM::`string'+0x22a30
10 00000000`0027f5c0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!LdrInitializeThunk+0xe
1: kd> !wow64exts.sw
Switched to Guest (WoW) mode
1: kd:x86> kvn
The context is partially valid. Only x86 user-mode context is available.
 # ChildEBP          RetAddr           Args to Child                                         
00 001dee2c 76f1c76b 001deec8 c0100080 001dee6c ntdll_77b00000!NtCreateFile+0x12 (FPO: [11,0,0])
01 001deed0 75583f66 00000060 c0100080 00000003 KERNELBASE!CreateFileW+0x35e (FPO: [Non-Fpo])
02 001deefc 755853c4 004b4d90 c0000000 00000003 kernel32!CreateFileWImplementation+0x69 (FPO: [Non-Fpo])
03 001def2c 013259e2 001def78 c0000000 00000003 kernel32!CreateFileA+0x37 (FPO: [Non-Fpo])

而RtlWalkFrameChain(x, n, 1)是可以完整获取到wow64到nt之前的所有应用层栈信息。如下:

00000000`7796c08a //ntdll!ZwCreateFile+0xa
00000000`73c8c1ff
00000000`73c7d18f
00000000`73c02776
00000000`73c7d286
00000000`73c7c69e
00000000`7795f9b6
00000000`779bbb89
00000000`7794a0ee
//00000000`00000000 没有这层
76f1c76b //ntdll_77b00000!NtCreateFile+0x12
75583f66
755853c4
013259e2

需要注意的是,两个ntdll并不一样(ntdll_77b00000是32位dll),并且ntdll中间出现了wow64和wow64cpu两个模块,这就涉及到具体x86调用(wow64)如何切换到x64了,这里不展开。

进程模块枚举

可能大家都知道驱动中枚举模块的一种方法(非ZwQuerySystemInformation、SystemModuleInformation ),使用进程Peb->Ldr链表枚举,可以获取到模块的路径、基址、大小等信息。

下面是通常驱动下获取模块信息的代码,适用于x64内核获取x64进程模块信息以及x86内核获取x86进程模块信息。

//通过模块名获取模块基址、大小、全路径等信息
Peb = GetProcessPeb(Process);
Ldr = Peb->Ldr;
if (Ldr && Ldr->Initialized)
{
	if (!IsListEmpty(&Ldr->InLoadOrderModuleList))
	{
		ListPtr = ListHead = Ldr->InLoadOrderModuleList.Flink;
		do
		{
			pLdrDataEntry = CONTAINING_RECORD(ListPtr, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
			if (RtlEqualUnicodeString(&pLdrDataEntry->BaseDllName, Target, TRUE))
			{
				if (Base) {
					*Base = (ULONG_PTR)pLdrDataEntry->DllBase;
				}
				if (Size) {
					*Size = pLdrDataEntry->SizeOfImage;
				}
				Status = STATUS_SUCCESS;
				break;
			}
			ListPtr = ListPtr->Flink;
		} while (ListPtr->Flink != ListHead);
	}

那特殊的Wow64又有什么不同呢?(x64内核获取x86进程模块信息)。

对于wow64进程来说,EPROCESS结构中有个特殊字段保存wow64的peb结构。

struct _EPROCESS
{
	PVOID Wow64Process;//
}

Win7之前Wow64Process是_WOW64_PROCESS结构,内部包含字段位wow64的peb,win7后Wow64Process直接就是wow64的peb。

直接就可以通过PsGetProcessWow64Process(未文档化函数)来获取到该字段。

Peb = PsGetProcessWow64Process(Process); //Process->Wow64Process

wow64的peb结构不再是_PEB,而是使用于wow64的_PEB32,一大特点就是所有的地址都是32位的,为了在x64下定义这种字段,只好使用ULONG。

#pragma pack(push, 1)
typedef struct _PEB32 {
	BOOLEAN InheritedAddressSpace;      // These four fields cannot change unless the
	BOOLEAN ReadImageFileExecOptions;   //
	BOOLEAN BeingDebugged;              //
	BOOLEAN SpareBool;                  //
	ULONG Mutant;                      // INITIAL_PEB structure is also updated.

	ULONG ImageBaseAddress;
	ULONG Ldr;//PPEB_LDR_DATA32
}PEB32, *PPEB32;
#pragma pack(pop)

结构中Ldr位32位地址指针,使用ULONG定义,Ldr也是特殊的_PEB_LDR_DATA32结构,字段和普通的_PEB_LDR_DATA完全一致,只是地址全为ULONG(32位,x64地址为64位)。

typedef struct _PEB_LDR_DATA32 {
	ULONG Length;
	ULONG Initialized;//bool
	ULONG SsHandle;
	LIST_ENTRY32 InLoadOrderModuleList;
	LIST_ENTRY32 InMemoryOrderModuleList;
	LIST_ENTRY32 InInitializationOrderModuleList;
	ULONG EntryInProgress;//pvoid
} PEB_LDR_DATA32, *PPEB_LDR_DATA32;

如此wow64进程模块信息获取的方法也出来了。

#define UlongToPtr(ul) ULongToPtr(ul)
#define ULongToPtr( ul ) ((VOID *)(ULONG_PTR)((unsigned long)ul))

Peb = PsGetProcessWow64Process(Process);
Ldr = UlongToPtr(Peb->Ldr);
if (Ldr && Ldr->Initialized)
{
	if (UlongToPtr(Ldr->InLoadOrderModuleList.Flink) != &Ldr->InLoadOrderModuleList)
	{
		ListPtr = ListHead = UlongToPtr(Ldr->InLoadOrderModuleList.Flink);
		do
		{
			pLdrDataEntry = CONTAINING_RECORD(ListPtr, LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks);
			RtlZeroMemory(ModuleName, MAX_PATH*sizeof(WCHAR));
			RtlCopyMemory(ModuleName, UlongToPtr(pLdrDataEntry->BaseDllName.Buffer),
						pLdrDataEntry->BaseDllName.Length > MAX_PATH*sizeof(WCHAR) ? 
						MAX_PATH*sizeof(WCHAR):pLdrDataEntry->BaseDllName.Length);
			RtlInitUnicodeString(&Name, ModuleName);
			if (RtlEqualUnicodeString(&Name, Target, TRUE))
			{
				if (Base) {
					*Base = (ULONG_PTR)pLdrDataEntry->DllBase;
				}
				if (Size) {
					*Size = pLdrDataEntry->SizeOfImage;
				}
				Status = STATUS_SUCCESS;				
				break;
			}
			ListPtr = UlongToPtr(ListPtr->Flink);
		} while (ListPtr->Flink != (ULONG)ListHead);
	}
}

搞定。

参考:

1.http://www.cnblogs.com/welfear/archive/2010/11/16/1878503.html
2.http://www.kernelmode.info/forum/viewtopic.php?t=2516
3.http://rce.co/category/wow64/

anhkgg
关注
专栏目录
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4710
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
枚举进程 模块
x
10-22 340
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
Windows NT Stack Trace
it技术学习
07-28 1208
在系统软件开发中有时会有得到函数调用者的信息的需要,为此WindowsNT专门提供了调用 RtlGetCallerAddress为内核开发者使用,但它并没有公开所以也就不能为驱动开发者使用。 然而在兼容过程中又无法避免使用它,所以我们只好探究其原理。 RtlGetCallerAddress可以由两种方法实现,其原型如下: VOID RtlGetCallersAddress( OUT PVOID *
【旧文章搬运】简单回溯及应用
weixin_30847865的博客
12-26 136
原文发表于百度空间,2008-12-18========================================================================== 标准回溯要求回溯中的每个函数都以如下指令作为开头(当然不是说不这样开头就不能回溯,那样就得特殊处理了):push ebpmov ebp,esp接下来的工作通常是为临时变量开辟空间sub esp,0x40.....
VC++实现枚举进程模块
weixin_30547797的博客
10-24 232
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
[windows 驱动开发] r0 枚举进程
LYSM
04-12 548
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
枚举进程模块
qq_41490873的博客
08-25 329
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
32位进程枚举64位进程模块信息
06-02
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
易语言-32位进程枚举64位进程模块信息
06-29
' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等.... ' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32...
e语言-32位进程枚举64位进程模块信息
08-23
资源介绍:' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....' 因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是...
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
枚举64位进程模块+查询64位进程的线程所属模块文件路径-易语言
06-12
该源码是 eWOW64Ext v1.21 的一个演示例子,完全使用了 eWOW64Ext 的方法 来枚举64位进程模块; 提供了两种方法来cha询64位进程的线程所属模块文件路径,该功能还没有易语言 方面的开源资料,本次为首次开源。
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握尚不深入,对于WINDOWS系统进程,仅能...
Windows驱动学习笔记之三 驱动枚举进程(WIN64)
iceamber2012的专栏
05-08 2208
WIN64 驱动枚举
x64驱动 遍历 PspCidTable 枚举进程和线程
LYSM
06-05 2922
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
通过PEB遍历进程模块(x64/wow4)
05-12
PEB(Process Environment Block)是Windows操作系统中的一个重要结构体,它包含了当前进程的环境信息。通过PEB,我们可以获取当前进程模块信息,包括模块的基地址、模块的名称等。 在x64和wow64下,PEB结构体的定义并没有变化,但是由于x64和wow64的指针长度不同,所以在使用PEB时需要注意指针长度的问题。 以下是通过PEB遍历进程模块的代码示例: ```c++ #include <windows.h> #include <winternl.h> #include <iostream> typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, *PUNICODE_STRING; typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICODE_STRING BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; union { LIST_ENTRY HashLinks; struct { PVOID SectionPointer; ULONG CheckSum; }; }; union { ULONG TimeDateStamp; PVOID LoadedImports; }; PVOID EntryPointActivationContext; PVOID PatchInformation; LIST_ENTRY ForwarderLinks; LIST_ENTRY ServiceTagLinks; LIST_ENTRY StaticLinks; } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY; typedef struct _PEB { BOOLEAN InheritedAddressSpace; BOOLEAN ReadImageFileExecOptions; BOOLEAN BeingDebugged; BOOLEAN Spare; HANDLE Mutant; PVOID ImageBaseAddress; PPEB_LDR_DATA LoaderData; PVOID ProcessParameters; PVOID SubSystemData; PVOID ProcessHeap; PVOID FastPebLock; PVOID AtlThunkSListPtr; PVOID IFEOKey; PVOID CrossProcessFlags; PVOID UserSharedInfoPtr; ULONG SystemReserved; ULONG AtlThunkSListPtr32; PVOID ApiSetMap; ULONG TlsExpansionCounter; PVOID TlsBitmap; ULONG TlsBitmapBits[2]; PVOID ReadOnlySharedMemoryBase; PVOID HotpatchInformation; PVOID ReadOnlyStaticServerData; PVOID AnsiCodePageData; PVOID OemCodePageData; PVOID UnicodeCaseTableData; ULONG NumberOfProcessors; ULONG NtGlobalFlag; LARGE_INTEGER CriticalSectionTimeout; ULONG_PTR HeapSegmentReserve; ULONG_PTR HeapSegmentCommit; ULONG_PTR HeapDeCommitTotalFreeThreshold; ULONG_PTR HeapDeCommitFreeBlockThreshold; ULONG_PTR NumberOfHeaps; ULONG_PTR MaximumNumberOfHeaps; PVOID ProcessHeaps; PVOID GdiSharedHandleTable; PVOID ProcessStarterHelper; PVOID GdiDCAttributeList; PVOID LoaderLock; ULONG OSMajorVersion; ULONG OSMinorVersion; USHORT OSBuildNumber; USHORT OSCSDVersion; ULONG OSPlatformId; ULONG ImageSubsystem; ULONG ImageSubsystemMajorVersion; ULONG ImageSubsystemMinorVersion; ULONG_PTR ImageProcessAffinityMask; ULONG_PTR GdiHandleBuffer[34]; PVOID PostProcessInitRoutine; PVOID TlsExpansionBitmap; ULONG TlsExpansionBitmapBits[32]; ULONG SessionId; ULARGE_INTEGER AppCompatFlags; ULARGE_INTEGER AppCompatFlagsUser; PVOID pShimData; PVOID AppCompatInfo; UNICODE_STRING CSDVersion; PVOID ActivationContextData; PVOID ProcessAssemblyStorageMap; PVOID SystemDefaultActivationContextData; PVOID SystemAssemblyStorageMap; ULONG_PTR MinimumStackCommit; } PEB, *PPEB; void EnumerateProcessModules(HANDLE hProcess) { PEB peb; ZeroMemory(&peb, sizeof(PEB)); // 获取PEB地址 BOOL bRet = ReadProcessMemory(hProcess, &NtCurrentTeb()->ProcessEnvironmentBlock, &peb, sizeof(PEB), NULL); if (!bRet) { std::cout << "ReadProcessMemory failed!" << std::endl; return; } // 遍历模块列表 PPEB_LDR_DATA pLdrData = peb.LoaderData; if (pLdrData == NULL) { std::cout << "LoaderData is NULL!" << std::endl; return; } PLIST_ENTRY pListHead = &pLdrData->InMemoryOrderModuleList; PLIST_ENTRY pListEntry = pListHead->Flink; while (pListEntry != pListHead) { PLDR_DATA_TABLE_ENTRY pLdrEntry = CONTAINING_RECORD(pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks); if (pLdrEntry->DllBase != NULL) { // 获取模块基地址和名称 wchar_t szModule[MAX_PATH] = { 0 }; bRet = ReadProcessMemory(hProcess, pLdrEntry->FullDllName.Buffer, szModule, pLdrEntry->FullDllName.Length, NULL); if (bRet) { std::wcout << L"Module Base: " << pLdrEntry->DllBase << L", Module Name: " << szModule << std::endl; } } pListEntry = pListEntry->Flink; } } int main(int argc, char* argv[]) { DWORD dwProcessId = 0; if (argc > 1) { dwProcessId = atoi(argv[1]); } HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId); if (hProcess == NULL) { std::cout << "OpenProcess failed!" << std::endl; return 0; } EnumerateProcessModules(hProcess); CloseHandle(hProcess); return 0; } ``` 需要注意的是,以上代码中使用了一些Windows内部的结构体和函数,如`UNICODE_STRING`、`LIST_ENTRY`、`NtCurrentTeb()`等,需要包含相应的头文件,并且这些结构体和函数都不是官方公开的API,可能会在未来的操作系统版本中发生变化。因此,开发者在使用这些结构体和函数时需要特别注意。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值