遍历内核驱动模块

最新推荐文章于 2024-07-02 19:45:12 发布
最新推荐文章于 2024-07-02 19:45:12 发布
阅读量5.3k 收藏 4
点赞数 1
分类专栏: Windows内核 文章标签: 内核 windows 遍历 数据结构 链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxc_huang/article/details/60471347
版权
本文介绍了如何遍历Windows内核的PsLoadedModuleList链表以获取所有驱动模块信息,详细解析了DRIVER_OBJECT和KLDR_DATA_TABLE_ENTRY结构,并展示了如何通过修改链表隐藏驱动。还提及了隐藏驱动的更隐蔽方法,包括从不同列表中移除。
摘要由CSDN通过智能技术生成

PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRY PsLoadedModuleList;

内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:

typedef struct _DRIVER_OBJECT {

    CSHORT Type;               

    CSHORTSize;

    PDEVICE_OBJECT DeviceObject;         //指向设备对象,所有的设备对象构成一个链表

    ULONGFlags;                         //驱动程序标志

    PVOIDDriverStart;                   //驱动程序映像起始地址

    ULONGDriverSize;                    //驱动程序映像大小

    PVOIDDriverSection;                 //指向驱动程序映像的内存区对象

    PDRIVER_EXTENSIONDriverExtension;   //指向驱动程序对象的扩展部分

    UNICODE_STRINGDriverName;           //驱动程序名称

    PUNICODE_STRINGHardwareDatabase;    //指向注册表中包含硬件信息的路径

    PFAST_IO_DISPATCHFastIoDispatch;    //指向快速I/O的分发结构

    PDRIVER_INITIALIZE DriverInit;       //驱动程序的初始化例程

    PDRIVER_STARTIO DriverStartIo;       //驱动程序的启动I/O例程

    PDRIVER_UNLOADDriverUnload;         //驱动程序的卸载例程

    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;

typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

DRIVER_OBJECT对象的DriverExtension成员指向的是驱动程序映像的内存区对象,它的结构KLDR_DATA_TABLE_ENTRY的定义是:

typedef struct_KLDR_DATA_TABLE_ENTRY

最低0.47元/天 解锁文章
Cayenne_Huang
关注
专栏目录
32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 568
遍历成功拿到了线程回调对象。
x64驱动 遍历驱动模块
LYSM
07-02 2187
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
遍历驱动
cshcmqcsh的专栏
05-30 699
_driver_object成员DriverSection指向_ldr_data_table_entry,_ldr_data_table_entry储存了某一驱动的基址、文件名等信息。_ldr_data_table_entry 成员 InLoadOrderLinks 为一 _list_entry结构,储存了前、后_ldr_data_table_entry的地址,_ldr_data_table_entry通过此成员形成一双向链表。而系统所有已装入驱动都在这链表中有一结点。故遍历之,即可达到目的。
linux内核驱动第一课(基于RK3568)
最新发布
STONE的博客
07-02 963
Linux内核驱动是一种用于管理和控制硬件设备的软件模块。它们是Linux操作系统与硬件设备之间的桥梁,使操作系统能够识别和与各种硬件设备进行交互。设备初始化:设置硬件设备并使其准备好使用。设备控制:通过系统调用和IOCTL命令来控制设备的操作。数据传输:管理数据的读写操作,使用户空间应用程序能够与硬件设备通信。中断处理:处理硬件设备生成的中断请求,以响应设备的事件。资源管理:管理硬件设备所需的系统资源,如内存和I/O端口。内核驱动程序通常分为字符设备驱动块设备驱动和网络设备驱动。
win7-32、驱动模块遍历驱动模块隐藏
Windows内核学习笔记
07-08 909
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
Windows内核遍历驱动模块源码分析
weixin_34159110的博客
12-14 199
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下: 1 // 2 // System Information Classes. 3 // 4 typ...
遍历内核模块
qq_41490873的博客
04-19 739
typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVOID DriverStart; ...
遍历驱动类型
09-30 372
#include"ntifs.h" typedef VOID(__stdcall FUNCT_00A4_0EDA_DumpProcedure) (VOID*, struct _OBJECT_DUMP_CONTROL*); typedef LONG32(__stdcall FUNCT_000F_0EE2_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, st...
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
08.MyPCHunter(遍历驱动模块).zip_7DN_Mypchunter_PCHunter _officeoy8_驱动遍
07-15
它能够帮助用户深入操作系统内核,查看硬件信息、进程线程、内存、注册表、网络连接等关键信息,尤其在驱动模块的管理和遍历方面表现出色。对于IT从业者和安全研究人员来说,PCHunter是一款不可或缺的辅助工具。 ...
14.遍历驱动模块.mp4
09-10
windows x64驱动程序开发 14.遍历驱动模块.
x64 驱动测试用户是否共享内核空间 和内核模块遍历
weixin_41725706的博客
11-06 204
windows10 x64 内核是否共享和内核模块遍历
遍历windows驱动遍历对象目录的对象
03-05 2016
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
驱动开发-遍历进程
Fly_Sky
10-18 922
理论来源:http://www.weixianmanbu.com/article/749.html 总结: !Process 0 0   进程列表 dt _eprocess    ----提示无改命令时使用.reload /f nt dt _eprocess 进程地址  --得到进程详细信息 DDFF进程地址+0x88  --得到下个进程地址结构指针 地址结构指针-0x88
抓取内核信息(二)-遍历数据结构
陈莉君的专栏
03-14 2143
        观察一个不断变化的事物,难,因为每个瞬间的信息可能 都有不同。但,在这些不同的背后,又有诸多的相似,因此 抽象就是认识事物本质的一种途径。      <span style="font-family:宋体;mso-ascii-font-family:"Times New Roman";mso-hansi-font-family:"Times New Roman"">与任
驱动开发:内核遍历文件或目录
CSDN
06-12 9209
在笔者前一篇文章`《驱动开发:内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核遍历文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。
利用PsLoadModuleList 杖举驱动模块
weixin_30439031的博客
12-27 452
PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。 这个双向链表的结构如下: kd> dt _LIST_ENTRY nt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY      //指向后一个链表 +0x0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值