通过PEB的Ldr枚举进程内所有已加载的模块

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.3k 收藏 2
点赞数

一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息

_PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY

 

二、技术原理

1、通过fs:[30h]获取当前进程的_PEB结构

2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构

3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构

4、通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构,注意:这里的Flink指向的是_LDR_DATA_TABLE_ENTRY结构中的InMemoryOrderLinks成员,因此需要计算真正的_LDR_DATA_TABLE_ENTRY起始地址,我们可以用CONTAINING_RECORD来计算。

5、输出_LDR_DATA_TABLE_ENTRY的BaseDllName或FullDllName成员信息。

 

三、代码实现(基于XP sp2 系统)

[cpp]  view plain copy
  1. //EnumInLoadModule.c  
  2. //compile:cl EnumInLoadModule.c  
  3. #include <windows.h>  
  4.   
  5. #define CONTAINING_RECORD(address, type, field) ((type *)( /  
  6.              (PCHAR)(address) - /  
  7.              (ULONG_PTR)(&((type *)0)->field)))  
  8.   
  9. typedef struct _UNICODE_STRING {  
  10.   USHORT  Length;  
  11.   USHORT  MaximumLength;  
  12.   PWSTR  Buffer;  
  13. } UNICODE_STRING, *PUNICODE_STRING;  
  14.   
  15. typedef struct _PEB_LDR_DATA  
  16. {  
  17.    DWORD Length;  
  18.    UCHAR Initialized;  
  19.    PVOID SsHandle;  
  20.    LIST_ENTRY InLoadOrderModuleList;  
  21.    LIST_ENTRY InMemoryOrderModuleList;  
  22.    LIST_ENTRY InInitializationOrderModuleList;  
  23.    PVOID EntryInProgress;  
  24. }PEB_LDR_DATA,*PPEB_LDR_DATA;  
  25.   
  26. typedef struct _LDR_DATA_TABLE_ENTRY  
  27. {  
  28.    LIST_ENTRY InLoadOrderLinks;  
  29.    LIST_ENTRY InMemoryOrderLinks;  
  30.    LIST_ENTRY InInitializationOrderLinks;  
  31.    PVOID DllBase;  
  32.    PVOID EntryPoint;  
  33.    DWORD SizeOfImage;  
  34.    UNICODE_STRING FullDllName;  
  35.    UNICODE_STRING BaseDllName;  
  36.    DWORD Flags;  
  37.    WORD LoadCount;  
  38.    WORD TlsIndex;  
  39.    LIST_ENTRY HashLinks;  
  40.    PVOID SectionPointer;  
  41.    DWORD CheckSum;  
  42.    DWORD TimeDateStamp;  
  43.    PVOID LoadedImports;  
  44.    PVOID EntryPointActivationContext;  
  45.    PVOID PatchInformation;  
  46. }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;  
  47.   
  48. typedef struct _PEB  
  49. {  
  50.    UCHAR InheritedAddressSpace;  
  51.    UCHAR ReadImageFileExecOptions;  
  52.    UCHAR BeingDebugged;  
  53.    UCHAR SpareBool;  
  54.    PVOID Mutant;  
  55.    PVOID ImageBaseAddress;  
  56.    PPEB_LDR_DATA Ldr;  
  57. }PEB,*PPEB;  
  58.   
  59. int main(void)  
  60. {  
  61.     PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;  
  62.     PLIST_ENTRY pListEntryStart = NULL,pListEntryEnd = NULL;  
  63.     PPEB_LDR_DATA pPebLdrData = NULL;  
  64.     PPEB pPeb = NULL;  
  65.       
  66.     //故意加载一些DLL,以便测试!  
  67.     LoadLibrary("ResLibDemo");  
  68.     __asm  
  69.     {  
  70.         //1、通过fs:[30h]获取当前进程的_PEB结构  
  71.         mov eax,dword ptr fs:[30h];  
  72.         mov pPeb,eax  
  73.     }  
  74.       
  75.     //2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构  
  76.     pPebLdrData = pPeb->Ldr;  
  77.       
  78.     //3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构  
  79.     pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;  
  80.       
  81.     //查找所有已载入到内存中的模块  
  82.     do  
  83.     {  
  84.         //4、通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构  
  85.         pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY,InMemoryOrderLinks);  
  86.           
  87.         //5、输出_LDR_DATA_TABLE_ENTRY的BaseDllName或FullDllName成员信息  
  88.         printf("%S/n",pLdrDataEntry->BaseDllName.Buffer);  
  89.           
  90.         pListEntryStart = pListEntryStart->Flink;  
  91.           
  92.     }while(pListEntryStart != pListEntryEnd);  
  93. }  
  94.   
  95. /* 
  96. output: 
  97.   EnumInLoadModule.exe 
  98.   ntdll.dll 
  99.   kernel32.dll 
  100.   ResLibDemo.dll 
  101.   ... 
  102. */  
  

 

四、总结

枚举模块有多种方式,随着深入的学习,希望能总结越来越来的方法。在这里感谢sai 的文章:http://www.debugman.com/read.php?tid=4255,虽然他的文章还没细看,但他里面的_LDR_DATA_TABLE_ENTRY结构促发了我编写测试的想法并总结了本文。


cqzj70
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
枚举进程 模块 堆栈
x
10-22 329
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
用EnumProcesses()枚举进程
晴天的专栏
04-25 8427
参照msdn的例子,用EnumProcesses()枚举进程并输入进程名和句柄。以下代码在vs2008中测试通过: #include "stdafx.h" #include #include "psapi.h" #pragma comment (lib, "psapi.lib ") void MyEnumProcess() { // Get the list of proce
枚举进程模块
qq_41490873的博客
08-25 310
在winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
枚举进程的所有模块
01-13 379
<br />Enumerating All Modules For a Process<br />To determine which processes have loaded a particular DLL, you must enumerate the modules for each process. The following sample code uses the EnumProcessModules function to enumerate the modules of current
32位进程枚举64位进程模块信息
06-02
资源介绍:。' WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位... 通过PEB64结构进行遍历进程的64位模块!。资源作者:。@iokey。资源下载:。Tags:64位进程
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
首先,PEB(Process Environment Block)是每个Windows进程的核心结构,它存储了关于进程的重要信息,如进程是否为调试状态、进程的可执行文件路径、加载模块列表等。黑客可以利用PEB来隐藏进程模块,使其不被系统...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程加载模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握...
易语言隐藏所有进程模块
07-22
在本主题中,“易语言隐藏所有进程模块”指的是通过易语言编写的一个程序,该程序能够实现对操作系统中所有进程模块的隐藏,这涉及到Windows系统底层的进程管理和内存操作。 首先,我们来理解“进程模块”。在...
准确在64位系统下枚举进程模块
04-08
在32位进程中使用WMI枚举其他进程模块,支持32位系统和64位系统。
枚举进程加载模块
UruseiBest 的技术专栏
07-12 936
在教程 vb.net 教程 6-3 进程加载模块 中详细讲解了使用 Process类的modules属性,该属性可以获取进程加载的所有Dll文件,详细使用可以参看上述博文。但是在实际使用中存在一个问题:对于有些程序,不能获得其进程全部的加载模块。例如,获得QQExternal的加载模块,如果使用.Net只能获得5个dll。但是通过其它工具,可以看到实际包含了很多dll: 通过调用系统api可以很好地解决这个问题。.........
枚举所有进程所有模块,删除制定进程
weixin_30519071的博客
03-31 147
环境: VS2008中配置WDK7600驱动开发环境 包含文件 #include <ntifs.h> #include <WinDef.h> 需要在 #include <ntddk.h> 之前 那么就不会出错 程序大体流程: PsGetCurrentProcess() 得到本进程EPROCESS 通过EPROCE...
进程模块枚举与隐藏
Catch me if you can
05-11 2470
整理
如何枚举进程以及如何枚举进程所包含的模块
xieyuz的专栏
03-09 896
    最近需要做毕设,对我而言,也是一个不小的挑战,这半年就没写过一个程序。。。。。    废话少说,言归正传,我这次的毕设和系统有比较大的关系,程序的其中一个模块就是扫描内存。    大体思路如下:先得到进程列表,然后枚举每个进程所调用的模块,并得到每个模块的基地址,然后,读取内存中进程的数据,并扫描。说是简单,就光得到模块的基地址就令我想了2天,最后还是解决了,哈哈哈哈。。 
使用ZwQueryVirtualMemory枚举进程模块支持x64
zhuhuibeishadiao
05-02 7904
#include "stdio.h" #include "windows.h"typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } LSA_UNICODE_STRING, *PLSA_UNICODE_STRING, UNICODE_STRING, *PUNICO
无用的,ring0暴力枚举进程模块
kedebug
12-22 1251
<br />////////////////////////////////////////////////////////////////////////// VOID ListModuleThread(PVOID Context) { NTSTATUS ntStatus = STATUS_UNSUCCESSFUL; ULONG StepAddress; ULONG Step2Address; ULONG BufferSize = 0x200; U
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1448
我们常常通过很多方法来获取进程模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
通过PEB遍历进程模块(x64/wow4)
05-12
通过PEB,我们可以获取当前进程模块信息,包括模块的基地址、模块的名称等。 在x64和wow64下,PEB结构体的定义并没有变化,但是由于x64和wow64的指针长度不同,所以在使用PEB时需要注意指针长度的问题。 以下是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值