ReactOS-Freeldr镜像加载2

最新推荐文章于 2023-12-29 18:32:49 发布
VIP文章 最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: ReactOS代码精读 文章标签: table dll buffer descriptor list null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cradiator/article/details/6531518
版权

 先来介绍几个重要的结构。Freeldr虽然是个引导程序,严格来讲不属于操作系统的一部分,但它也有一些类似Windows系统中的数据结构。

LOADER_PARAMETER_BLOCK这个可以看作Freeldr的PEB,结构也和PEB非常相似。
/include/reactos/arc/arc.h
  1. typedef struct _LOADER_PARAMETER_BLOCK
  2. {
  3.     LIST_ENTRY LoadOrderListHead;
  4.     LIST_ENTRY MemoryDescriptorListHead;
  5.     LIST_ENTRY BootDriverListHead;
  6.     ......
  7. } LOADER_PARAMETER_BLOCK, *PLOADER_PARAMETER_BLOCK;
这里我们只看前三个域。和PEB中一样,前三个元素是三个表头,Freeldr每加载一个模块就会生成一个LDR_DATA_TABLE_ENTRY结构,并将这个结构连入这三个链表。
LoadOrder是按照夹在顺序排序的,Memory按照内存位置排序,BootDriver按照分区号排序。在Freeldr中只使用了LoadOrderListHead。

LDR_DATA_TABLE_ENTRY的结构定义在include/ndk/Ldrtypes.h中
  1. typedef struct _LDR_DATA_TABLE_ENTRY
  2. {
  3.     LIST_ENTRY InLoadOrderLinks;                      // 用来连入LoadOrderListHead等的表头
  4.     LIST_ENTRY InMemoryOrderModuleList;
  5.     LIST_ENTRY InInitializationOrderModuleList;
  6.     PVOID DllBase;                                    // 模块基地址
  7.     PVOID EntryPoint;                                 // 入口点
  8.     ULONG SizeOfImage;                                // 内存镜像大小
  9.     UNICODE_STRING FullDllName;                       // 文件全路径
  10.     UNICODE_STRING BaseDllName;                       // 模块名, 不一定和全路径的文件名相同
  11.     ULONG Flags;                                      // 一些标志
  12.     USHORT LoadCount;                                 // 引用计数
  13.     USHORT TlsIndex;
  14.     union
  15.     {
  16.         LIST_ENTRY HashLinks;
  17.         struct
  18.         {
  19.             PVOID SectionPointer;
  20.             ULONG CheckSum;                           // 校验和
  21.         };
  22.     };
  23.     union
  24.     {
  25.         ULONG TimeDateStamp;
  26.         PVOID LoadedImports;
  27.     };
  28.     PVOID EntryPointActivationContext;
  29.     PVOID PatchInformation;
  30. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
我做过注释的是Freeldr实际用到的域。注意这里BaseDllName中记录的模块名不一定和模块的实际文件名相同。许多BaseDllName是硬编码的只具有参考意义。

上一节读的WinLdrLoadImage函数,只是把文件从硬盘中读出来按照PE格式对其,并没有涉及上面所说的结构。所以Freeldr中WinLdrLoadImage往往都是和WinLdrAllocateDataTableEntry函数配合使用的。WinLdrLoadImage负责加载镜像,WinLdrAllocateDataTableEntry负责生成、初始化对应的LDR_DATA_TABLE_ENTRY结构。

  1. BOOLEAN
  2. WinLdrAllocateDataTableEntry(IN OUT PLOADER_PARAMETER_BLOCK WinLdrBlock,
  3.                              IN PCCH BaseDllName,
  4.                              IN PCCH FullDllName,
  5.                              IN PVOID BasePA,
  6.                              OUT PLDR_DATA_TABLE_ENTRY *NewEntry)
  7. {
  8.     PVOID BaseVA = PaToVa(BasePA);
  9.     ......
  10.     /* 申请LDR_DATA_TABLE_ENTRY结构 */
  11.     DataTableEntry = (PLDR_DATA_TABLE_ENTRY)MmHeapAlloc(sizeof(LDR_DATA_TABLE_ENTRY));
  12.     
最低0.47元/天 解锁文章
cradiator
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ReactOS-0.3.3-RC2.rar
03-28
ReactOS-0.3.3源码,仿XP的开源系统。配合《Windows 内核情景分析》一书深入探寻Windows内核的奥秘!
ReactOS-0.4.12.iso
05-04
ReactOS 是开源、自由的 Windows NT 系列克隆操作系统,保持了与 Windows 的系统级兼容性。
PE文件结构详解(三)PE导出表
Azure_Sky_2014
02-02 826
转自:http://blog.csdn.net/evileagle/article/details/12176797 上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:
4.13(LoadLibrary)
m0_72827793的博客
04-13 752
本章准确来讲,自己的理解很少,需要多花时间好好理解
重载内核(x86)
125096
11-17 2238
#include #include #include #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 256 #endif typedef unsigned char *PBYTE; typedef unsigned char BYTE; typedef unsigned int UIN
ReactOS-0.4.7-PressKit2_ReactOS_
10-03
reactos version 0 4 7 press kit
ReactOS-0.4.7-PressKit_ReactOS_
09-29
react os press kit 0.4.7
ReactOS-0.4.7-PressKit3_ReactOS_
10-02
react os operating system press kit poggers
获取PE文件的导出函数列表
06-19
获取PE文件的导出函数列表,提供代码。PE文件是windows的下的文件格式
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
用Labwindows/CVI写的用于解析dll库的导出函数和虚拟地址的小工具
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 853
_LDR_DATA_TABLE_ENTRY结构体
再爆Windows崩溃漏洞
weixin_30745553的博客
04-24 207
再爆Windows崩溃漏洞 /**************************************/*作者:半斤八兩/*博客:http://cnblogs.com/bjblcracked/*日期:2014-04-2401:01/************************************** 只是...
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1033
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1699
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1283
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1502
    #include "stdafx.h" #include &lt;stdlib.h&gt; #include &lt;Windows.h&gt; #include &lt;Ntsecapi.h&gt;    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3275
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
如何使用react-native-svg和react-native-svg-transformer加载本地svg图片
09-06
要使用 `react-native-svg` 和 `react-native-svg-transformer` 加载本地 SVG 图像,你可以按照以下步骤进行操作: 1. 首先,确保你已经在项目中安装了 `react-native-svg` 和 `react-native-svg-transformer` 依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值