ring0内存遍历。获取函数地址

最新推荐文章于 2022-07-06 10:38:17 发布
最新推荐文章于 2022-07-06 10:38:17 发布
阅读量991 收藏
点赞数
分类专栏: Windows驱动类 文章标签: module system struct class ddk null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/han2814675/article/details/6181364
版权

ZwQuerySystemInformation   函数的声明

 

NTKERNELAPI                                          //不知道为什么 据说DDK 里面有这个宏定义
NTSTATUS

ZwQuerySystemInformation(
       ULONG SystemInformationClass,
       PVOID SystemInformation,
       ULONG SystemInformationLength,
       PULONG ReturnLength
       );

 

我是这样声明的 

extern NTSTATUS ZwQuerySystemInformation(ULONG SystemInformationClass,PVOID SystemInformation,ULONG SystemInformationLength,PULONG ReturnLength);  //编译通过了,实际还没有测试。

 

第一个参数是一个枚举类型,传入的是你需要查询的信息的类型,如果你要查询进程的相关信息,则你需要传入SystemProcessesAndThreadsInformation,要是查询系统模块信息,传入SystemInformationClass

以下是这个enmu类型的定义。

typedef enum _SYSTEM_INFORMATION_CLASS {
SystemBasicInformation, // 0 Y N
SystemProcessorInformation, // 1 Y N
SystemPerformanceInformation, // 2 Y N
SystemTimeOfDayInformation, // 3 Y N
SystemNotImplemented1, // 4 Y N
SystemProcessesAndThreadsInformation, // 5 Y N
SystemCallCounts, // 6 Y N
SystemConfigurationInformation, // 7 Y N
SystemProcessorTimes, // 8 Y N
SystemGlobalFlag, // 9 Y Y
SystemNotImplemented2, // 10 Y N
SystemModuleInformation, // 11 Y N
SystemLockInformation, // 12 Y N
SystemNotImplemented3, // 13 Y N
SystemNotImplemented4, // 14 Y N
SystemNotImplemented5, // 15 Y N
SystemHandleInformation, // 16 Y N
SystemObjectInformation, // 17 Y N
SystemPagefileInformation, // 18 Y N
SystemInstructionEmulationCounts, // 19 Y N
SystemInvalidInfoClass1, // 20
SystemCacheInformation, // 21 Y Y
SystemPoolTagInformation, // 22 Y N
SystemProcessorStatistics, // 23 Y N
SystemDpcInformation, // 24 Y Y
SystemNotImplemented6, // 25 Y N
SystemLoadImage, // 26 N Y
SystemUnloadImage, // 27 N Y
SystemTimeAdjustment, // 28 Y Y
SystemNotImplemented7, // 29 Y N
SystemNotImplemented8, // 30 Y N
SystemNotImplemented9, // 31 Y N
SystemCrashDumpInformation, // 32 Y N
SystemExceptionInformation, // 33 Y N
SystemCrashDumpStateInformation, // 34 Y Y/N
SystemKernelDebuggerInformation, // 35 Y N
SystemContextSwitchInformation, // 36 Y N
SystemRegistryQuotaInformation, // 37 Y Y
SystemLoadAndCallImage, // 38 N Y
SystemPrioritySeparation, // 39 N Y
SystemNotImplemented10, // 40 Y N
SystemNotImplemented11, // 41 Y N
SystemInvalidInfoClass2, // 42
SystemInvalidInfoClass3, // 43
SystemTimeZoneInformation, // 44 Y N
SystemLookasideInformation, // 45 Y N
SystemSetTimeSlipEvent, // 46 N Y
SystemCreateSession, // 47 N Y
SystemDeleteSession, // 48 N Y
SystemInvalidInfoClass4, // 49
SystemRangeStartInformation, // 50 Y N
SystemVerifierInformation, // 51 Y Y
SystemAddVerifier, // 52 N Y
SystemSessionProcessesInformation // 53 Y N
}SYSTEM_INFORMATION_CLASS;

第二个参数是你用来接收信息的一片内存区域,第三个参数是这边内存的大小,第四个参数返回长度,不是必选的.

当我们第一个参数传入的是SystemProcessesAndThreadsInformation则返回的一片内存空间一个PSYSTEM_PROCESSES的结构。

当我们第一个参数传入的是SystemModuleInformation则返回的一片内存空间一个SYSTEM_MODULE_INFORMATION的结构


typedef struct _SYSTEM_MODULE_INFORMATION { // Information Class 11
    ULONG Reserved[2];
    PVOID Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT Unknown;
    USHORT LoadCount;
    USHORT ModuleNameOffset;
    CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

 

 

 

PVOID ExAllocatePool(                                   //还是用的这个分配内存的。。。用下面的返回值定义PULONG 报错。
  __in  POOL_TYPE PoolType,
  __in  SIZE_T NumberOfBytes
);

PVOID ExAllocatePoolWithTag(                       //分配内存函数
  __in  POOL_TYPE PoolType,                         //内存的参数  见下个枚举类型
  __in  SIZE_T NumberOfBytes,                      //内存的大小  PAGE_SIZE
  __in  ULONG Tag                                           //感觉是这个内存区域的描述类的东西,就是给它起个名字。"tag1" 引号别少了
);
typedef enum _POOL_TYPE {
  NonPagedPool                    = 0,  一页的大小是PAGE_SIZE    大小在PAGE_SIZE上 必须是PAGE_SIZE的整倍数
  PagedPool                       = 1,
  NonPagedPoolMustSucceed         = 2,
  DontUseThisType                 = 3,
  NonPagedPoolCacheAligned        = 4,
  PagedPoolCacheAligned           = 5,
  NonPagedPoolCacheAlignedMustS   = 6
} POOL_TYPE;

 

 

代码还没完善 目前问题很大  有空在修改

ULONG getFunAdd(ULONG feature1, ULONG feature2, ULONG feature3, ULONG feature4) //获取函数原始地址
{
// extern NTSTATUS ZwQuerySystemInformation(ULONG SystemInformationClass,PVOID SystemInformation,ULONG SystemInformationLength,PULONG ReturnLength);
NTKERNELAPI
NTSTATUS ZwQuerySystemInformation(
        IN  ULONG SystemInformationClass,
        IN  OUT PVOID SystemInformation,
        IN  ULONG SystemInformationLength,
        OUT PULONG ReturnLength OPTIONAL
);
typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
    ULONG  Unknown1;
    ULONG  Unknown2;
#ifdef _WIN64
        ULONG Unknown3;
        ULONG Unknown4;
#endif
    PVOID  Base;
    ULONG  Size;
    ULONG  Flags;
    USHORT  Index;
    USHORT  NameLength;
    USHORT  LoadCount;
    USHORT  PathLength;
    CHAR  ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
    ULONG Count;
    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
}  SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

 ULONG i=0;
 ULONG j=0;
 ULONG m=0;
 PULONG p;
 NTSTATUS ntStatus;
 PSYSTEM_MODULE_INFORMATION pp;
 
 p=ExAllocatePool(NonPagedPool,PAGE_SIZE);
 if(!p)
 {
  return 0;
 }
 ntStatus = ZwQuerySystemInformation(11,p,sizeof(p),NULL);  //11是SystemModuleInformation  
    if ( !NT_SUCCESS( ntStatus ) )
    {
        KdPrint(( "ZwQuerySystemInformation Error!/n" ));
        ExFreePool(p);
        return 0;
    }
    pp=(PSYSTEM_MODULE_INFORMATION)p;
    m=pp->Count;
    for(i=0;i<m;i++)
    {
     KdPrint(( "111SystemMode,Base: %x/n", pp->Module[i].Base ));
        KdPrint(( "111SystemMode, ImageName,: %s/n",pp->Module[i].ImageName ));
        KdPrint(( "111SystemMode, Size: %d/n",pp->Module[i].Size ));

        //关键码比较
    }
 ExFreePool(p);
 return 0;
}     

han2814675
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1301
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
终于完成了Ring3下挂钩ring0下的函数程序(目前支持xp)
chenhui530的专栏
03-23 3372
折腾了一天终于把这个程序搞定了,是蓝了我N次屏变换了N多种方法,终于稳定实现了。目前只是SSDT 挂钩了NtOpenProcess,其实可以挂钩任何ring0函数(理论上,只是其中很多非常麻烦,会把人搞死的^_^) .今天就此打住,算是有所突破吧。下次准备下个复杂点的inline hook的再加交互~~(是不是太复杂了,做了就知道了^_^).注意:目前只支持xp,其实可以支持2k,和2003
RING3到RING0函数跟踪
weixin_33951761的博客
05-27 267
前两天面试,一位面试官老师提到了RING3到RING0的跟踪,自己以前是windbg跟踪过一次,想着再用OD跟踪一下 就在当复习一下,当时答面试官哥哥进R0是哪个函数的时候,竟然想不起来,只知道说是Ki开头的那个函数,真是汗颜,不珍惜机会啊 好好记住吧 OD加载咱们的notepad 下断点到CreateFileW,迷惑于是CreateFileW还是CreateFileA可以用PEID看一下,...
Ring0和Ring3
weixin_43742894的博客
05-13 2813
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。 Windows只使用RING0和RING3,RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
linux 析构函数地址获取_Linux系统内存知识总结
weixin_28685487的博客
01-17 125
原标题:Linux系统内存知识总结Linux 内存是后台开发人员,需要深入了解的计算机资源。合理的使用内存,有助于提升机器的性能和稳定性。本文主要介绍Linux 内存组织结构和页面布局,内存碎片产生原因和优化算法,Linux 内核几种内存管理的方法,内存使用场景以及内存使用的那些坑。从内存的原理和结构,到内存的算法优化,再到使用场景,去探寻内存管理的机制和奥秘。走进Linux 内存1、内存是什么?...
DPDK 无锁ring
fengcai_ke的博客
07-06 319
DPDK rte_ring无锁队列实现
ssdt函数索引号_技术分享 - 32位系统上获取SSDT表地址以及从中获取指定SSDT函数地址...
weixin_39525812的博客
01-30 314
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符表。SSDT 表的作用就是把 ring3 的 WIN32 API 函数ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
SSDT.rar_ring0_ssdt
最新发布
09-22
“城里城外看SSDT.docx”可能详细介绍了如何从用户和内核模式观察和分析SSDT,包括如何获取SSDT地址遍历系统服务表、识别和跟踪系统调用。而“zguso.txt”可能是作者关于SSDT的个人笔记或工具使用说明,可能包含了...
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
Ring0驱动级编程指的是在操作系统的最高权限级别——Ring0执行的代码,这里的"ring0"指的是CPU的特权级别,它赋予了程序对硬件的直接访问权以及对操作系统服务的完全控制。在Windows系统中,驱动程序通常由系统服务...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
1. **获取SSDT地址**:在Windows系统中,SSDT的地址并不是固定的,需要通过一定的手段(如枚举内存、使用调试工具等)找到它。 2. **备份SSDT**:在进行任何修改之前,应先备份SSDT的原始状态,以防意外。 3. **...
[ring3反作弊篇] VC++基于EBP遍历调用栈及模块名
03-23
2. **遍历调用栈**:从EBP开始,通过检查栈中的地址获取上层函数的返回地址。每次迭代时,更新EBP为当前栈帧的EBP值。 3. **解析模块名**:根据返回地址,查找对应的内存模块,可以使用`VirtualQuery`或`...
精选_通过暴力搜索PID遍历进程并获取进程信息_源码打包
03-11
"enum-process"可能是一个程序或者库,用于在ring0级别遍历和枚举系统进程。这表明这个代码可能涉及到了低级别的系统编程,可能用于安全分析、系统监控或者驱动开发。 综合以上,这个资源对于学习系统编程、进程...
RING0级暴力搜索内存检测系统隐藏进程(或ROOTKIT)(实测可运行)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-20 1814
最近期末答辩不知道写什么好,就写一个安全软件吧。软件使用驱动和C++编写,大概多数安全软件都是这样吧。 时间关系,就不说那么多了,直接入正题吧。 在此先感谢“伊丽_杀_白”、“堕落天才”、“antirootkit”等提供的优秀文章,我只是在他们基础之上修改了一下。 伊丽_杀_白    暴力搜索内存空间检测隐藏进程:http://bbs.xdnice.com/thread-377796-1
Ring3/Ring0的四种通信方式
Rodney443220的专栏
06-11 7922
21.1.5  DeviceIoControl函数与IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoControl。 BOOL DeviceIoControl(    HANDLE hDevice,           //设备句柄    DWORD dwIoControlCode,
手动加载NT式驱动。
01-21 1148
1.打开注册表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services   创建新的项目        例如 DDK2.    名称                类型                   数据       DisplayName: SZ                      DDK       ErrorControl:  DWORD              1       ImagePath:    EXPAND_SZ       
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值