核态获取PsLoadedModuleList地址的稳定方法

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量6k 收藏 4
点赞数 1
分类专栏: Windows内核(原创) 文章标签: table windows struct null list string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/celestialwy/article/details/1261407
版权
    PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,这些信息可用在AntiRootkit等方面。
    由于Windows 2003 Server SP1开始不再支持用户态访问Physical Memory,所以我这介绍一种在内核态获取PsLoadedModuleList地址的稳定方法。次方法已在Windows XP SP2和Windows 2003 SP1下测试通过。
    代码如下:
   

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        struct {
            ULONG TimeDateStamp;
        };
        struct {
            PVOID LoadedImports;
        };
    };
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

extern PLIST_ENTRY g_PsLoadedModuleList   ;
PLIST_ENTRY FindPsLoadedModuleList (IN PDRIVER_OBJECT DriverObject)
{
    PLDR_DATA_TABLE_ENTRY pModuleCurrent = NULL;
    PLDR_DATA_TABLE_ENTRY PsLoadedModuleList = NULL;

    if (DriverObject == NULL)
        return 0;

     pModuleCurrent = *((PLDR_DATA_TABLE_ENTRY*)(DriverObject->DriverSection));
    if (pModuleCurrent == NULL)
        return 0;

     PsLoadedModuleList = pModuleCurrent;

    while ((PLDR_DATA_TABLE_ENTRY)pModuleCurrent->InLoadOrderLinks.Flink != PsLoadedModuleList)
    {
        if (((pModuleCurrent->SizeOfImage == 0x00000000)
              && (pModuleCurrent->FullDllName.Length == 0))
              || (pModuleCurrent->FullDllName.Buffer == NULL))
        {
            return (PLIST_ENTRY) pModuleCurrent;
        }

          pModuleCurrent = (PLDR_DATA_TABLE_ENTRY)pModuleCurrent->InLoadOrderLinks.Flink;
    }

    return NULL;
}

    我在测试中发现了这样一个有趣的现象,在Windows 2003 Server SP1下PsLoadedModuleList满足((pModuleCurrent->SizeOfImage == 0x00000000) && (pModuleCurrent->FullDllName.Length == 0))而在WindowXP SP2PsLoadedModuleList满足(pModuleCurrent->FullDllName.Buffer == NULL)。

  转载请注明出处!

celestialwy
关注
专栏目录
windbg+虚拟机内核调试过程.doc
10-12
这一方法不仅适用于解决复杂的系统级问题,还能帮助开发者深入了解Windows内核的工作原理,提高软件开发的整体效率。此外,通过实践这种方式的调试,还可以积累宝贵的调试经验,为后续遇到类似问题提供参考。
利用PsLoadModuleList 杖举驱动模块
weixin_30439031的博客
12-27 449
PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。 这个双向链表的结构如下: kd> dt _LIST_ENTRY nt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY      //指向后一个链表 +0x0...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2519
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 565
遍历成功拿到了线程回调对象。
遍历内核驱动模块
HXC_HUANG的博客
03-05 5344
PsLoadedModuleListWindows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
检测断开PsLoadedModuleList链的驱动
zacklin的专栏
05-18 2412
有空我还会写关于ssdt检测和修复的部分,我们可以把下面的例子在ssdt检测部分中加入,以解决一些rootkit隐藏了驱动,不能被成功枚举出来的问题PDIRECTORY_BASIC_INFORMATION     pDriverBuffer = NULL; pDriverBuffer = (PDIRECTORY_BASIC_INFORMATION)m_cSysInfo.QueryDirector
总结一下得到内核模块地址方法
weixin_34055910的博客
08-27 773
网上说的比较常见的4种方法:1、通过DriverEntry传入的DriverObject参数的DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基址和大小2、ZwQuerySystemInformation大法3、搜索内存4、利用KPCR结构存在的问题:1、第1种方法和第4种方法得到的结果比ZwQuerySy...
(转载)获取Windows 系统的内核变量
Kendiv's Box
11-12 1901
获取Windows 系统的内核变量转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内核变量作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]com        tombkeeper[0x40]xfocus[0x
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 980
_LDR_DATA_TABLE_ENTRY结构体
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1073
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1635
我们常常通过很多方法获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2557
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1885
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
驱动开发:内核操作进线程与模块
CSDN
10-21 5608
进程就是活动起来的程序,每一个进程在内核里,都有一个名为EPROCESS的结构记录它的详细信息,其中就包括进程名,PID,PPID,进程路径等,通常在应用层枚举进程只列出所有进程的编号即可,不过在内核层需要把它的 EPROCESS 地址给列举出来。
获取Windows 系统的内核变量
小发猫
11-07 1732
关键字:PsLoadedModuleListPsActiveProcessHead、NtSystemDebugControl        PsNtosImageBase、KdVersionBlock、KdDebuggerDataBlock、内核变量     PsLoadedModuleList等重要内核变量并未被ntoskrnl.exe导出,也没有公开的函数可以获取。而这些内核变量对于
驱动开发:内核RIP劫持实现DLL注入
CSDN
06-16 7655
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其中最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1549
    #include "stdafx.h" #include &lt;stdlib.h&gt; #include &lt;Windows.h&gt; #include &lt;Ntsecapi.h&gt;    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
Windows内核模块名称遍历
qq726232111的博客
12-15 865
0x00 原理 内核模块信息以_LDR_DATA_TABLE_ENTRY结构形式存在于系统, 该结构以双向链表将所有的模块信息关联起来。 0x01 实现 1.1 基于WinDbg获取_LDR_DATA_TABLE_ENTRY结构 在WinDbg中调试过程中输入 dt _LDR_DATA_TABLE_ENTRY 来获取_LDR_DATA_TABLE_ENTRY结构结构信息 以下是我在调试Win10时获取的信息: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_D..
通过驱动断链来隐藏驱动
Misaka10046的博客
07-12 2958
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
Windows 驱动线程获取模块
06-12
获取 Windows 驱动程序中的模块可以使用 PsLoadedModuleList 来实现。PsLoadedModuleList 是一个指向系统中所有已加载模块的链表头的指针,可以通过遍历该链表来获取每个模块的基址、大小、文件名等信息。以下是获取...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值