枚举内核模块

最新推荐文章于 2022-08-16 12:04:00 发布
最新推荐文章于 2022-08-16 12:04:00 发布
阅读量840 收藏
点赞数
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
  NTSTATUS status = STATUS_SUCCESS;
  ULONG   n       = 0;
  ULONG   i       = 0;
  PSYSTEM_MODULE_INFORMATION_ENTRY   module = NULL;
  PVOID   pbuftmp = NULL;
  ANSI_STRING    ModuleName1,ModuleName2;
  BOOLEAN  tlgstst= FALSE;  //如果找到了指定模块则设置为TRUE
  
  //利用11号功能 枚举内核模块
  status = ZwQuerySystemInformation(11, &n, 0, &n);
  
  //申请内存
  pbuftmp = ExAllocatePool(NonPagedPool, n);
  
  //再次执行,将 枚举结果放到指定的内存区域
  status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
  module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
  
  //初始化字符串 
  RtlInitAnsiString(&ModuleName1,str);

  n       = *((PULONG)pbuftmp );

  for ( i = 0; i < n; i++ )
  {
    RtlInitAnsiString(&ModuleName2,&module[i].ImageName);
    //DbgPrint("%d\t0x%08X 0x%08X %s\n",module[i].LoadOrderIndex,module[i].Base,module[i].Size,module[i].ImageName);
    
    if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
    {
      DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module[i].Base);
      *moduleadd  = module[i].Base;
      *modulesie  = module[i].Size;
      tlgstst = TRUE;
      break;
    }
  }

  ExFreePool(pbuftmp);

  if tlgstst == FALSE)
  {
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }

  return status;

转至:http://bbs.pediy.com/showthread.php?t=185057&highlight=%E6%9E%9A%E4%B8%BE+%E4%B8%BE%E9%A9%B1+%E9%A9%B1%E5%8A%A8

cqzj70
关注
Kirinoium 2.0.ec 易语言谷歌内核模块下载
07-02
易语言谷歌内核浏览器 Kirinoium 2.0.ec 模块下载 亲测有用
驱动开发:内核中枚举进线程与模块
最新发布
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
[内核编程]枚举进程空间内所有模块
輚至消亡
07-13 1184
环境: Win7 X64 该方法枚举进程空间所有模块是基于进程环境块即PEB结构来实现的。 首先查看PEB结构, 该结构中有一个字段为_PEB_LDR_DATA。 进入_PEB_LDR_DATA字段查看, 最重要的是名为InLoadOrderModuleList, InMemoryModuleList以及InInitializationOrderModuleList的三条循环链表。 这三条循环链表中分别串着本EPROCESS对应的模块链表。其中 InLoadOrderModuleLi..
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1289
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
枚举Windows进程中模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1738
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
易语言枚举内核模块信息源码
06-11
易语言枚举内核模块信息源码 不含模块! 纯API打造
易语言R3层枚举内核模块源码 同IS
06-25
易语言R3层枚举内核模块源码是一种在易语言编程环境中实现的底层系统模块枚举技术。在Windows操作系统中,R3层指的是Ring 3,这是用户模式的层次,与Ring 0(内核模式)相对。在这个层级,程序员可以编写应用程序,...
易语言枚举内核驱动
07-22
枚举内核驱动时,我们通常会设置`SystemInformationClass`参数为`SystemModuleInformation`,以获取系统模块信息。 接下来,我们关注"取文件名"这个环节。在枚举驱动过程中,我们不仅需要知道驱动的存在,还需要...
易语言源码易语言枚举内核驱动源码.rar
03-31
7. **编译与加载**:学习源码时,还要理解如何使用易语言的编译工具将源码编译为可执行的内核模块,并将其加载到操作系统中。 8. **安全与稳定性**:内核驱动的安全性直接影响系统的稳定性和安全性。因此,编写内核...
易语言枚举消息钩子模块
08-16
易语言枚举消息钩子模块源码 系统结构:读内核地址数据,枚举钩子,取钩子PTI,取首地址,取钩子类型,卸载钩子,取自定义类型地址,到长整数一,ZwSystemDebugControl,卸载钩子_,GetModuleFileNameExA,
用NtQuerySystemInformation函数暴力枚举驱动
06-01
资源介绍:。易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享.因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓,。资源作者:。lms520。资源界面:。资源下载:。
易语言-用NtQuerySystemInformation函数暴力枚举驱动
06-29
易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓, lms520
易语言源码恒云雨驱动执行内核代码的易语言源码.rar
03-30
易语言源码恒云雨驱动执行内核代码的易语言源码.rar
易语言.奇易浏览框模块(谷歌浏览器内核).入门教程
aitanxiaofeng的博客
08-16 8575
变量名字自定义,但是变量类型为: 奇易浏览框。以上为入门操作,后续根据api进行按需使用。demo中解压后的.ec文件。
枚举当前系统进程以及进程加载模块
C++ 永无止境
04-03 1万+
枚举当前系统进程的方法大致分一下几个步骤:一、 提升应用程序的进程权限///////////////自定义函数实现///////////////// BOOL PromotePrivilege(BOOL bEnable) { // 附给本进程特权,以便访问系统进程 HANDLE hToken; // 打开一个进程的访问令牌 if(::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
VC++实现枚举进程与模块
我的编程之旅
01-01 1133
[cpp] view plaincopyprint? #pragma once  #define _WIN32_WINNT 0x0500   #include"windows.h"  #include"tlhelp32.h"  #include"stdio.h"  #include"NativeApi.h"  #include"wchar.h"  #include"
枚举和隐藏内核模块
liuhaidon1992的博客
01-08 1073
在 WIN64 上枚举内核模块有两种方法:使用 ZwQuerySystemInformation 的第 11 号功能(SystemModuleInformation)和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表; 隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向...
linux命令之netstat
清扬叶
03-18 190
netstat命令各个参数说明如下: -a 或–all 显示所有连线中的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线中的相关地址。 -c 或–continuous 持续列出网络状态...
VC枚举系统进程的四种编程方法
其他三种方法可能涉及系统调用、线程管理、模块加载等高级概念,但未在提供的部分内容中详述。通过实践这些方法,不仅可以学习到VC编程技巧,还能增强对Windows内核运作机制的理解。对于希望深入探究Windows进程管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值