利用Native API内核模块信息

最新推荐文章于 2023-06-22 13:49:30 发布
最新推荐文章于 2023-06-22 13:49:30 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: Windows内核(原创) 文章标签: api module delete buffer list null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/celestialwy/article/details/1100330
版权
    本文描述了在用户态利用利用Native API获取内核模块信息的方法,并给出了示例代码。
    首先需要获取该函数的地址,获取Native API地址的方法或直接调用的技术可参照 我的文章-《用户态应用程序调用 Native API 的方法》和《 用户态应用程序调用Native API的一种最简便的方法》。
    下面即为示例代码:
         

DWORD dwTemp;
DWORD dwIndex;
PDWORD pdwBuffer;
DWORD dwNumBytes;
DWORD dwNumEntries;

PSYSTEM_MODULE_INFORMATION pDriverInfo;

ZwQuerySystemInformation (SystemModuleInformation, &dwTemp, 0, &dwNumBytes);

//
// Allocate buffer
//
PUCHAR pBuffer = new UCHAR [dwNumBytes];
pdwBuffer = (PDWORD)pBuffer;

if (pdwBuffer == NULL)
{
     return false;
}

//
// Get driver list from ntdll
//
ZwQuerySystemInformation (SystemModuleInformation, pdwBuffer, dwNumBytes, &dwNumBytes);
 

dwNumEntries = pdwBuffer[0];
pDriverInfo = (PPROCESS_MODULE_INFORMATION)(pdwBuffer + 1);

for (dwIndex = 1; dwIndex <= dwNumEntries; dwIndex++)
{    

     //
     // Dump module information here
     //
     ......

     pDriverInfo++;
}

  delete [] pBuffer;

celestialwy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Native API 和一般 API 的 IAT Hook
09-03
Native API通常指的是Windows API,它们是操作系统内核直接提供的功能,而一般API则可能指的是非内核态的库函数,如DLL(动态链接库)中的函数。实现这种统一的方式,可能涉及到动态地找到API的入口点,修改IAT,...
rpncalc:作为 Linux 内核模块实现的简单 RPN 计算器
06-27
**标题解析:** ...通过深入学习这些知识点,读者可以了解如何利用内核模块的优势来实现特定的功能,同时掌握 RPN 计算的原理和实践。这不仅有助于理解 Linux 内核的内部工作,也能够提升对系统级编程的理解。
native API
快乐人生
12-21 1457
native API 可以译做“原生API” 就是最直接的API 像fopen,CreateFile这些函数,其实是封装过的API,他们最终都调用了NtCreateFile。 NtCreateFile这样的函数就是native API
info信息获取
weixin_30389003的博客
08-17 788
一、绝对路径(_SERVER[“SCRIPT_FILENAME”])这个是最常用,也是最有效的一个办法,找到phpinfo()页面可以直接找到网站的绝对路径,对于写shell和信息搜集是必不可少的。二、支持的程序可以通过phpinfo()查看一些特殊的程序服务,比如redis、memcache、mysql、SMTP、curl等等如果服务器装了redis或者memcache可以通过ssrf来gets...
Android的CPU架构
chengxuyuan22的博客
04-12 321
手机CPU架构查询 需要在Android studio中的项目里打开Device File Explorer,找到proc文件,点击cpuinfo文件 1、JNI的全称是Java Native Interface JNI是java平台的一部分,Java无法直接调用系统操作,1)通过可以实现与其他语言进行交互。如:c/c++ JNI的接口函数和指针: native代码想要访问 java虚拟机需要调用...
驱动开发:内核取ntoskrnl模块基地址
CSDN
10-09 9798
模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基址,当我们需要操作这个模块时,通常第一步就是要得到该模块的内存基址,模块分为用户模块和内核模块,这里的用户模块指的是应用层进程运行后加载的模块,内核模块指的是内核中特定模块地址,本篇文章将实现一个获取驱动。操作系统的一个重要内核程序,里面存储了大量的二进制内核代码,用于调度系统时使用,也是操作系统启动后第一个被加载的程序,通常该进程在任务管理器中显示为。的基地址以及长度,此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。
Native API
09-06 309
系统服务分发器(System Service Dispatcher) Win32子系统和内核模块的关系图:User32.Dll、Gdi32.Dll、Kernel32.Dll和Advapi32.Dll等用户层DLL是Win32子系统的核心组件,它们提供了Win32子系统API的实现。 所有关于Win32 API实现的DLL到最后都转向了ntdll.Dll,而Ntdll.D
Linux内核API手册——简略版
CrazyHeroZK的专栏
02-15 9167
Kernel API 寻址 页表与页 TLB NODE、CPU与寄存器 寄存器操作 CPU特性 PerCPU变量操作 CPU位掩码 NODE操作 内核同步 内核抢占 原子操作 位锁 内存屏障 自旋锁 位图操作 顺序锁 信号量 PerCPU 读写信号量 完成变量 中断操作 工作队列 等待队列 内存管理 物理页管理 非整页内存管理 非连续内存管理 时间管理 节拍软定时器...
Android内核的编译和调试
热门推荐
Fly20141201. 的专栏
04-28 1万+
一、Android内核源码的选择 Android手机设备内核源码的调试需要外部硬件设备的支持,调试步骤比较麻烦。相对来说,Android模拟器内核源码的调试就比较简单了,这里以Android模拟器内核源码的调试为例。首先创建一个Android API 19(Android 4.4.x版本)的Android模拟器,然后运行该Android模拟器。在 ubuntu 14.04.5 系统或者 Win
Native Application 开发详解(直接在程序中调用 ntdll.dll 中的 Native API
01-05 2462
直接在程序中调用 ntdll.dll 中的 Native API,有内存小、速度快、安全、API丰富等8大优点 文章目录:                   1. 引子: 2. Native Application Demo 展示: 3. Native Application 简介: 4. Native Application 有何妙用: 5. MJ
驱动开发:内核远程线程实现DLL注入
最新发布
CSDN
06-22 6344
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
探测Windows系统信息(Native API)vc++.rar_API_Native API_Vc_windows 系统信息
09-23
- `EnumProcessModules()` 和 `GetModuleInformation()`:用于列举和获取运行中的进程及其模块信息。 - `GetLogicalDrives()`:获取可用磁盘驱动器的信息。 - `QueryPerformanceCounter()` 和 `...
易语言-强力打开结束进程模块
06-29
1. **NATIVE API**:NATIVE API是一组直接与Windows NT内核交互的函数,它不依赖于特定的编程语言,而是直接与操作系统底层打交道,提供了如进程管理、线程控制、内存管理等高级功能。在易语言中,通过封装NATIVE ...
Android Native Service
05-27
它能够直接调用Linux内核API,减少了Java层的开销,提升了性能。 2. **结构**:一个Native Service通常包含一个JNI接口,这个接口作为Java层和Native层的桥梁,用于传递数据和控制信息。服务的生命周期管理和事件...
Windows内核方面的经典书籍
温研的专栏 (探索OS内核的奥秘)
02-14 7547
Inside Windows 2000;Microsoft Windows Internals。这两本书分别是同一套Windows内核架构分析书籍的第三版和第四版,两位作者在编写本书的过程中被授权察看Windows的相关源码,所以可以说这两本书是Windows内核分析的第一手资料; Programming the Microsoft Windows Driver Model,
Windows NT/2000/XP Native API比较列表
温研的专栏 (探索OS内核的奥秘)
02-17 7470
INDEX WINDOWS NT 4.0 WINDOWS 2000
Windows删除文件的实现分析
温研的专栏 (探索OS内核的奥秘)
08-06 6732
Windows下删除文件的实现方式本质上有以下两种:1. 使用FILE_DELETE_ON_CLOSE   ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义,使用此标志打开的文件在关闭时会删除该文件。   如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOS
DriverStudio 3.2 与 Visual C++ 2005 的兼容性问题
温研的专栏 (探索OS内核的奥秘)
05-12 6191
    DriverStudio是Windows下开发驱动程序的利器,DriverStudio 3.2是其最新版本。但很可惜,这也是它的最后一个版本了,Compuware公司已经停止了对它的继续开发。    DriverStudio 3.1/3.2都能与VC++ 2003顺利集成。但是DriverStudio 3.1未提供VC++ 2005下的集成插件,而DriverStudio 3.2安装包提供
eCos Native C API 指南
"eCos+Native+C+API.pdf" 本文档主要介绍了eCos(Embedded Configurable Operating System)的原生C API,这是一种专为嵌入式系统设计的实时操作系统。eCos API提供了丰富的功能,用于管理操作系统的核心服务,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值