得到内核模块基地址

最新推荐文章于 2022-10-09 14:19:38 发布
最新推荐文章于 2022-10-09 14:19:38 发布
阅读量1.1k 收藏
点赞数
分类专栏: 代码 驱动开发 文章标签: module list table image system string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbwd1/article/details/7380735
版权 
 
//参考:combojiang:   http://hi.baidu.com/combojiang/blog/item/bfa7a6d9f1c913ee38012f28.html
//      combojiang:   http://hi.baidu.com/hu3167343/blog/item/3fb1cc91e9582507d31b7023.html
//      combojiang:   http://bbs.pediy.com/showthread.php?t=58447
//      莫灰灰:       http://hi.baidu.com/hu3167343/blog/item/3fb1cc91e9582507d31b7023.html
//      还有一些,忘了出处了,一并感谢,此次只是做个总结

#include <ntddk.h>
//---------------------------------//
//下面的结构包含了一些重要信息。如:PsLoadedModuleList ,它是Windows加载的所有内核模块构成的链表的表头。
//PsLoadedModuleList就是如下这个结构体中InLoadOrderLinks。即为LDR_DATA_TABLE_ENTRY结构的第一项。
#pragma pack(push)//结构定义
#pragma pack(1)                  
typedef struct _LDR_DATA_TABLE_ENTRY
{
    LIST_ENTRY         InLoadOrderLinks;
    LIST_ENTRY         InMemoryOrderLinks;
    LIST_ENTRY         InInitializationOrderLinks;
    PVOID              DllBase;
    PVOID              EntryPoint;
    ULONG              SizeOfImage;
    UNICODE_STRING     FullDllName;
    UNICODE_STRING     BaseDllName;
    ULONG              Flags;
    USHORT             LoadCount;
    USHORT             TlsIndex;
    union
    {
        LIST_ENTRY     HashLinks;
        struct
        {
            PVOID      SectionPointer;
            ULONG      CheckSum;
        };
    };
    union
    {
        ULONG           TimeDateStamp;
        PVOID           LoadedImports;
    };
    PVOID               EntryPointActivationContext;
    PVOID               PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
#pragma pack(pop)
//---------------------------------------------------------------------------------------------------//变量、常量、结构定义
UNICODE_STRING BaseName;

#define SystemModuleInformation 11  //Method2要用到11功能号

#define IMAGE_DOS_SIGNATURE                 0x5a4d      // MZ           见winnt.h
#define IMAGE_NT_SIGNATURE                  0x00004550  // PE00

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
 ULONG   Unknow1;
 ULONG   Unknow2;
 #ifdef  _WIN64
 ULONG   Unknow3;
 ULONG   Unknow4:
 #endif
 PVOID   Base;
 ULONG   Size;
 ULONG   Flags;
 USHORT  Index;
 USHORT  NameLength;
 USHORT  LoadCount;
 USHORT  ModuleNameOffset;
 char    ImageName[256];
}SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
   ULONG Count;//内核中以加载的模块的个数
   SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
}SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

//---------------------------------------------------------------------------------------------------//函数声明
NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pRegistryPath);
NTSTATUS DriverUnload();
//Method3用到,指定当前线程运行在那个处理器
NTKERNELAPI VOID KeSetSystemAffinityThread ( KAFFINITY Affinity );
NTKERNELAPI VOID KeRevertToUserAffinityThread ( VOID );

NTKERNELAPI NTSTATUS ZwQuerySystemInformation(
                                           IN ULONG SystemInformationClass,
                                              IN OUT PVOID SystemInformation,
                                              IN ULONG SystemInformationLength,
                                              IN PULONG ReturnLength OPTIONAL 
             );
//------------------------------------------------------------------------------------------------//

PIMAGE_NT_HEADERS NTAPI RtlImageNtHeader(IN PVOID BaseAddress);
//-----------------------------------------------------------------------------------------------//
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, DriverUnload)

/*
    用到了DriverObject域的InLoadOrderLinks链表

注意:
   下面的代码会用到一个宏:
---------------------------------------------------------------------------------------------------------------------
CONTAINING_RECORD 这样的一个宏,它的定义如下:
#define CONTAINING_RECORD(address, type, field) ((type *)( (PCHAR)(address) - (ULONG_PTR)(&((type*)0)->field)))

根据网上资料:就是address -(field在type中的偏移)
----------------------------------------------------------------------------------------------------------------------
*/
VOID Method1(IN PDRIVER_OBJECT DriverObject)//遍历链表
{
 ULONG Base=0;//模块基地址
 LDR_DATA_TABLE_ENTRY* SectionBase=NULL;
 LIST_ENTRY* Entry=NULL;
    LIST_ENTRY InLoadOrderLinks;
    ULONG num=0;
 Entry=((LIST_ENTRY*)DriverObject->DriverSection)->Flink;

 do
 {
  SectionBase=CONTAINING_RECORD(Entry,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);//得到这个Entry所属的Section的地址,此方法经过验证可行

     if (SectionBase->EntryPoint && 
            SectionBase->BaseDllName.Buffer &&
            SectionBase->FullDllName.Buffer &&
            SectionBase->LoadCount
            )
  {
   DbgPrint("方法一遍历模块名称:%wZ,地址:%x\n",&(SectionBase->FullDllName),SectionBase->DllBase);
   //DbgPrint("方法一遍历模块名称:%wZ,地址:%8X\n",&(SectionBase->BaseDllName),SectionBase->DllBase);
   num++;
   /*if(!RtlCompareUnicodeString(&(SectionBase->BaseDllName),&BaseName,FALSE))
   {
    DbgPrint("方法一模块名称:%wZ,地址:%x\n",&(SectionBase->BaseDllName),SectionBase->DllBase);
   }*/
  }
  Entry=Entry->Flink;
  
 }while(Entry!=((LIST_ENTRY*)DriverObject->DriverSection)->Flink);//直到遍历回来
 DbgPrint("方法一得到模块总数:%d\n",num);
}

void Method2()//ZwQuerySystemInformation大法
{
 PVOID pBuffer=0;//缓冲区
 NTSTATUS Result;//查询结果
 ULONG NeedSize;
 PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;//将结果强制转换为该类型
 ULONG BufferSize = 0x5000;//初始分配内存大小,没有采用查询再分配的循环方法
 ULONG ModuleCount;//模块总数
 ULONG i;
 do
 {
  pBuffer=ExAllocatePool(NonPagedPool,BufferSize);
  if(pBuffer==NULL)
  {
   DbgPrint("分配内存失败!\n");
   return FALSE;
  }
  Result=ZwQuerySystemInformation(SystemModuleInformation,pBuffer,BufferSize,&NeedSize);
  if(Result==STATUS_INFO_LENGTH_MISMATCH )//分配不够
  {
   ExFreePool(pBuffer);
   //大小乘以2,重新分配
   BufferSize*=2;
  }
  else if(!NT_SUCCESS(Result))//失败,放弃吧
  {
   DbgPrint( "查询失败,错误码:%8X\n", Result );
   ExFreePool(pBuffer);
   return FALSE;
  }
  }while( Result == STATUS_INFO_LENGTH_MISMATCH );

 pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;//类型转换
 ModuleCount=pSystemModuleInformation->Count;//模块总数
 for(i=0;i<ModuleCount;i++)
 {
  DbgPrint( "方法二遍历模块名称:%s,地址:%8X\n", pSystemModuleInformation->Module[i].ImageName, pSystemModuleInformation->Module[i].Base );
 }
 DbgPrint("方法二得到模块总数:%d\n",ModuleCount);
 ExFreePool(pBuffer);
 return TRUE;
}

void Method3(ULONG Base)//,OUT PVOID* BaseAddress,OUT PVOID* ImageSize)//搜索内存,从0x80000000-----0xa0000000
{
 for(Base&=0xfffff000;;Base-=PAGE_SIZE)
 {
  if(MmIsAddressValid((PVOID)Base)&&*(USHORT*)Base==IMAGE_DOS_SIGNATURE )  //MZ标识
  {
   PVOID NTHeader=RtlImageNtHeader((PVOID)Base);//获得NT头指针  RtlImageNtHeader()函数返回一个指向给定映像文件 PE 头部的指针
            if(MmIsAddressValid((PVOID)NTHeader)&&*(ULONG*)NTHeader==IMAGE_NT_SIGNATURE)     //PE文件标识
   {
    //MSDN:The ARGUMENT_PRESENT macro takes an argument pointer and returns FALSE if the pointer is NULL, TRUE otherwise.
    /*if (ARGUMENT_PRESENT (BaseAddress))
     *BaseAddress = (PVOID)SomeAddress;

                if (ARGUMENT_PRESENT (ImageSize))
                    *ImageSize = ((IMAGE_NT_HEADERS*)NtHeader)->OptionalHeader.SizeOfImage;*/
    DbgPrint("地址:%8X\n",Base);
    break;
   }
  }
  DbgPrint("搜索%8X中...\n",Base);
  if(Base<0x80000000)
  {
   DbgPrint("搜索失败!\n");
    break;
  }
   
 }
}
//内核中FS寄存器指向KPCR结构,每个处理器都有一个,使用第一个处理器即可其中比较重要的是KdVersionBlock这个指针, 它指向一个DBGKD_GET_VERSION64这个结构.

//这个结构体里面包含了一些重要信息。如:PsLoadedModuleList ,它是Windows加载的所有内核模块构成的链表的表头

//两个处理器对应的KPCR结构是有区别的, 只有第一个处理器的KPCR域KdVersionBlock才指向DBGKD_GET_VERSION64这个结构.

//-------------------------------------仔细观察定义会发现,这个跟使用DriverObject方法达到的链表示一样的!
void Method4()                              
{
 ULONG Addr;//内核地址

 LIST_ENTRY* Entry=NULL;
    LIST_ENTRY InLoadOrderLinks;
 LDR_DATA_TABLE_ENTRY* SectionBase=NULL;//LdrData->DllBase,LdrData->FullDllNme

    ULONG num=0;
    //-----------------------------------------------------------------------------//在莫灰灰基础上修改一小部分
    KeSetSystemAffinityThread(1);//使当前线程运行在第一个处理器上
 _asm
 {
  push  eax
  mov   eax,FS:[0x34]                     ;指向KdVersionBlock的指针
  add   eax,18h                           ;得到指向PsLoadedModuleList的地址,即该指针的地址,指针里存有PsLoadedModuleList的地址
  mov   eax,[eax]                         ;得到PsLoadedModuleList的地址
        mov   eax,[eax]                         ;得到PsLoadedModuleList的内容
  //mov   eax,[eax+18h]                     ;取出DllBase, 即ntoskrnl.exe的基地址
        mov   Addr,eax
        pop  eax
 }
 
 KeRevertToUserAffinityThread();//恢复线程运行的处理器
 //----------------------------------------------------------------------// 以下跟方法一重复

    Entry=(LIST_ENTRY*)Addr;

 do
 {
  SectionBase=CONTAINING_RECORD(Entry,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);//得到这个Entry所属的Section的地址,此方法经过验证可行

     if (SectionBase->EntryPoint && 
            SectionBase->BaseDllName.Buffer &&
            SectionBase->FullDllName.Buffer &&
            SectionBase->LoadCount
            )
  {
   DbgPrint("方法四遍历模块名称:%wZ,地址:%8X\n",&(SectionBase->FullDllName),SectionBase->DllBase);
   num++;
  }
  Entry=Entry->Flink;
  
 }while(Entry!=(LIST_ENTRY*)Addr);//直到遍历回来
 DbgPrint("方法四得到模块总数:%d\n",num);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pRegistryPath)
{
 ULONG EntryAddr;
 _asm
 {
  push ecx;
  lea ecx,[ebp][4];//得到DriverEntry返回地址
  mov EntryAddr,ecx;
  pop ecx;
 }
 EntryAddr=*(ULONG*)EntryAddr;
 DbgPrint("驱动返回地址:%8X\n",EntryAddr);
 RtlInitUnicodeString(&BaseName,L"ntoskrnl.exe");
 DbgPrint("驱动加载成功!\n");
 //-------------------------------//
 //Method1(pDriverObject);
 //-------------------------------//
 Method2();
    //-------------------------------//
 //Method4();
 //-------------------------------//
 Method3(EntryAddr);//,NULL,NULL);
 //-------------------------------//
 pDriverObject->DriverUnload=DriverUnload;
 return STATUS_SUCCESS;
}
NTSTATUS DriverUnload()
{
 DbgPrint("驱动卸载成功\n");
}

 
futosky
关注
专栏目录
linux内核符号地址,Linux内核-模块专用地址空间
weixin_33207473的博客
04-29 532
Linux内核模块采用专用的地址空间,有一定的固定大小,具体可以通过起机dmesg信息里的字段来确认Memory: 245540K/262144K available (3043K kernel code, 1665K rwdata, 1112K rodata, 176K init, 6356K bss, 16604K reserved, 0K cma-reserved)Virtual kerne...
一篇长文叙述Linux内核虚拟地址空间的基本概括
最新发布
m0_74282605的博客
11-12 1551
这里的内存模型,是指Linux内核用怎么样的方式去管理物理内存,一个物理内存页(4k),内核会用一个page(64Byte)(类似物理页的meta)去记录Physics Page Number相关信息,下面几种内存模型是讲如何存储这个物理机的meta信息(page),保证内核能快速根据PFN/PPN找到Page,也可以根据Page快速算出PFN。Linux内存模型发展经历了三个模式,分别为FLATMEM、DISCONTIGMEM、SPARSEMEM。PS:这里说下PFN和PPN是一个东西。
总结一下得到内核模块地址的方法
weixin_34055910的博客
08-27 776
网上说的比较常见的4种方法:1、通过DriverEntry传入的DriverObject参数的DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基和大小2、ZwQuerySystemInformation大法3、搜索内存4、利用KPCR结构存在的问题:1、第1种方法和第4种方法得到的结果比ZwQuerySy...
Linux内核模块详解
热门推荐
Kunaly
08-26 2万+
内核模块 实验目的 内核模块是Linux操作系统中一个比较独特的机制。通过这一章学习,希望能够理解Linux提出内核模块这个机制的意义;理解并掌握Linux实现内核模块机制的基本技术路线;运用Linux提供的工具和命令,掌握操作内核模块的方法。 实验内容 针对三个层次的要求,本章安排了3个实验。 第一个实验,编写一个很简单的内核模块。虽然简单,但它已经具备了内核模块的基本要素。与此同时,...
重载内核(x86)
125096
11-17 2292
#include #include #include #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 256 #endif typedef unsigned char *PBYTE; typedef unsigned char BYTE; typedef unsigned int UIN
干掉KV 2008, Rising等大部分杀软
03-24 1166
前言: 写这篇文章不是为了传播病毒技术,而是让广大的电脑安全爱好者对病毒常用的伎俩有一个比较清楚的认识,才能更好的防范. 写的很菜,老鸟飘过~ 主题: 利用驱动结束掉大部分的安全软件(eg. KV 2008, 瑞星,微点, 360),禁止一些ARK(反rootkits安全工具)的运行.(当然,不考虑主动防御如何禁止驱动的加载,现在前提是驱动已经加载.所以只讨论一个层面)              
驱动开发:内核取ntoskrnl模块基地
CSDN
10-09 9854
模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基,当我们需要操作这个模块时,通常第一步就是要得到该模块的内存基,模块分为用户模块和内核模块,这里的用户模块指的是应用层进程运行后加载的模块,内核模块指的是内核中特定模块地址,本篇文章将实现一个获取驱动。操作系统的一个重要内核程序,里面存储了大量的二进制内核代码,用于调度系统时使用,也是操作系统启动后第一个被加载的程序,通常该进程在任务管理器中显示为。的基地以及长度,此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。
驱动开发:内核取应用层模块基地
CSDN
10-09 1万+
的基,当在某些场景中,我们不仅需要得到内核的基地,也需要得到特定进程内某个模块的基地,显然上篇文章中的方法是做不到的,本篇文章将实现内核层读取32位应用层中特定进程模块基功能。等结构体定义依然需要保留,此处只保留核心代码,定义部分请看前一篇文章,自定义读取模块基核心代码如下,调用。如上就是如何得到特定模块基的方法,如下是入口函数的调用方法,首先通过传入。中我们通过调用内核API函数获取到了内核进程。结构该结构可通过内核函数。这个PID号,得到进程。
嵌入式系统/ARM技术中的关于应用程序与内核模块之间共享存储器
10-21
通过设置u-boot环境变量`mem=29M`来告知内核可用内存的大小,然后在内核头文件中定义了共享内存的基地、数量、大小以及其他相关常量和结构体,如`at91_fifo`,以供访问和管理共享内存。 `new_fifo_fun`函数看起来...
C++实现获取模块在进程中地址
06-04
每个模块在内存中都有一个特定的基地,这个地址就是模块加载到进程地址空间时的起始位置。 在Windows系统中,我们可以利用Windows API来获取这些信息。关键的函数是`EnumProcessModules`和`GetModuleBaseName`。...
进程模块查看器,支持32位和64位进程
11-18
2. **基地**:每个模块在进程的虚拟地址空间中都有一个起始地址,称为基地。这是模块在内存中的加载位置,对于动态定位和代码执行至关重要。 3. **模块入口点**:这是模块执行的起点,通常在可执行文件中是程序...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5103
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
C++ 获取某进程中某模块的入口地址(也是 PE文件头 地址
LYSM
08-02 5349
HMODULE GetProcessModuleHandle(DWORD pid, CONST TCHAR* moduleName){ // 根据 PID 、模块名(需要写后缀,如:".dll"),获取模块入口地址MODULEENTRY32 moduleEntry; HANDLE handle = NULL; handle = ::CreateToolhelp32Sna...
源码阅读笔记
星空下的约定
11-23 666
2005.11.23 nativeAPI:百度百科 原生API:wikieli’s docs翻译的wiki:http://www.cnblogs.com/exclm/p/4080630.html大牛的博客:待会儿再看吧#define ALIGN_DOWN(x, align) (x &~ (align - 1))//对齐代码用的? #define ALIGN_UP(x, align) ((x &
win10安装openssl
futosky的专栏
08-20 7754
下载了openssl-1.1.0f.tar版本,按照网上的步骤老是在执行 ms\ms_do的时候失败,看这个目录下确实没有这个文件,折腾了好久。最后选择openssl-1.0.0s版本,按照如下步骤安装: VS2013中编译openssl的步骤和使用设置一.VS2013中编译openssl的步骤版本号:openssl-1.0.1e 1.下载 OpenSSL http://www.openssl.o
围绕SwapContext的一点代码
futosky的专栏
03-21 986
这次的胡乱探究原因在于看到了一个08年的帖子: · 标 题:HOOK SwapContext 枚举隐藏进程(学习笔记4) · 作 者:bzhkl · 时 间:2008-12-11 12:01 · 链 接:http://bbs.pediy.com/showthread.php?t=78464 都是很老的东西了,可惜很菜才开始关注 这篇帖子讲了HOOK SwapCo
一段提权的ShellCode
futosky的专栏
03-21 703
/* Shell执行思路: 一般会运用某个驱动的BUG,使得ring3传入的地址指向的代码会被运行 比如: 一个驱动会将传入的地址的内容清0,那么可以将Shellcode拷贝到0x00地址处,然后触发shellcode 在Ring3获取HalDispatchTable表的地址X,X+4即存有函数HalQuerySystemInformation的地址,则利用BUG将此处修改为0,即可触发
栈回溯笔记
futosky的专栏
03-21 641
/* 栈回溯目的: 已知函数B调用函数A,现欲得到函数B的地址,则可以inline hook A,在fake_funcA内部进行栈回溯,最终得到B的地址 */ /* 使用OLLAYDBG跟踪~ 本练习程序的 A函数地址:0x00401005 JMP TO 0x00401030真实的A函数地址 B函数地址:0x0040100A JMP TO 0x00401070真实的B函数地
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值