ZwQuerySystemInformation枚举内核模块及简单应用

最新推荐文章于 2024-09-30 13:31:42 发布
最新推荐文章于 2024-09-30 13:31:42 发布
阅读量4.5k 收藏
点赞数
分类专栏: 驱动开发 文章标签: module system struct class path null
 

简单说,即调用第11号功能,枚举一下内核中已加载的模块。
部分代码如下:
//功能号为11,先获取所需的缓冲区大小
ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);
//申请内存
ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,0,&needlen,MEM_COMMIT,PAGE_READWRITE);
//再次调用
ZwQuerySystemInformation(SystemModuleInformation,(PVOID)pBuf,truelen,&needlen);
......
//最后,释放内存
ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,&needlen,MEM_RELEASE);

突出过程,省略了错误判断,和调用其它的功能时操作并没有什么区别。
关键在返回的内容中,缓冲区pBuf的前四个字节是已加载的模块总数,记为ModuleCnt,接下来就是共有ModuleCnt个元素的模块信息数组了。
该结构如下:
typedef struct _SYSTEM_MODULE_INFORMATION {
ULONG Count;
SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

模块详细信息结构如下:
typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {
HANDLE Section;
PVOID MappedBase;
PVOID Base;
ULONG Size;
ULONG Flags;
USHORT LoadOrderIndex;
USHORT InitOrderIndex;
USHORT LoadCount;
USHORT PathLength;
CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;
一个for循环,循环ModuleCnt次就OK了。
基于此,写了三个简单的函数。

void ShowAllModules(char *pBuf)
{
//函数功能:输出所有模块信息
//参数pBuf:ZwQuerySystemInformation返回的缓冲区首址
PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
DWORD Modcnt=0;
Modcnt=*(DWORD*)pBuf;
pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
for (DWORD i=0;i<Modcnt;i++)
{
   printf("%d\t0x%08X 0x%08X %s\n",pSysModuleInfo->LoadOrderIndex,pSysModuleInfo->Base,pSysModuleInfo->Size,pSysModuleInfo->ImageName);
   pSysModuleInfo++;
}

}
void GetOSKrnlInfo(char *pBuf,DWORD *KernelBase,char *szKrnlPath)
{
//函数功能:返回系统内核(ntoskrnl.exe或ntkrnlpa.exe)的基址和路径
//参数pBuf:ZwQuerySystemInformation返回的缓冲区首址
//参数KernelBase:接收返回的系统内核的基址
//参数szKrnlPath:接收返回的内核文件的路径
PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
DWORD Modcnt=0;
*KernelBase=0;
Modcnt=*(DWORD*)pBuf;
pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
//其实第一个模块就是了,还是验证一下吧
if (strstr((strlwr(pSysModuleInfo->ImageName),pSysModuleInfo->ImageName),"nt"))
{
   *KernelBase=(DWORD)pSysModuleInfo->Base;
   GetSystemDirectory(szKrnlPath,MAX_PATH);
   lstrcat(szKrnlPath,strrchr(pSysModuleInfo->ImageName,'\\'));
}
}


void DetectModule(char *pBuf,DWORD dwAddress,char *ModulePath)
{
//函数功能:找出给定地址所在的模块
//参数pBuf:缓冲区地址,同上
//参数dwAddress:要查询的内核地址
//参数ModulePath:接收返回的模块路径
PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
DWORD Modcnt=0;
Modcnt=*(DWORD*)pBuf;
pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
for (DWORD i=0;i<Modcnt;i++)
{
   if ((dwAddress>=(DWORD)pSysModuleInfo->Base)&&(dwAddress<(DWORD)pSysModuleInfo->Base+pSysModuleInfo->Size))
   {
    lstrcpy(ModulePath,pSysModuleInfo->ImageName);
   }
pSysModuleInfo++;
}
}


该功能是通过遍历PsLoadedModuleList实现的,所以要隐藏的话,最简单的方法还是断链~~
更高级的方法比如抹DriveObject,抹PE信息等等,以后再玩~

1.接口说明

NTKERNELAPI NTSTATUS ZwQuerySystemInformation(
  IN ULONG SystemInformationClass,
  IN OUT PVOID SystemInformation,
  IN ULONG SystemInformationLength,
  IN PULONG ReturnLength OPTIONAL );
第一个参数是一个枚举类型,传入的是你需要查询的信息的类型以下是这个enmu类型的定义。
typedef enum _SYSTEM_INFORMATION_CLASS {
 SystemBasicInformation, // 0 Y N
 SystemProcessorInformation, // 1 Y N
 SystemPerformanceInformation, // 2 Y N
 SystemTimeOfDayInformation, // 3 Y N
 SystemNotImplemented1, // 4 Y N
 SystemProcessesAndThreadsInformation, // 5 Y N
 SystemCallCounts, // 6 Y N
 SystemConfigurationInformation, // 7 Y N
 SystemProcessorTimes, // 8 Y N
 SystemGlobalFlag, // 9 Y Y
 SystemNotImplemented2, // 10 Y N
 SystemModuleInformation, // 11 Y N    枚举内核模块时用
 SystemLockInformation, // 12 Y N
 SystemNotImplemented3, // 13 Y N
 SystemNotImplemented4, // 14 Y N
 SystemNotImplemented5, // 15 Y N
 SystemHandleInformation, // 16 Y N
 SystemObjectInformation, // 17 Y N
 SystemPagefileInformation, // 18 Y N
 SystemInstructionEmulationCounts, // 19 Y N
 SystemInvalidInfoClass1, // 20
 SystemCacheInformation, // 21 Y Y
 SystemPoolTagInformation, // 22 Y N
 SystemProcessorStatistics, // 23 Y N
 SystemDpcInformation, // 24 Y Y
 SystemNotImplemented6, // 25 Y N
 SystemLoadImage, // 26 N Y
 SystemUnloadImage, // 27 N Y
 SystemTimeAdjustment, // 28 Y Y
 SystemNotImplemented7, // 29 Y N
 SystemNotImplemented8, // 30 Y N
 SystemNotImplemented9, // 31 Y N
 SystemCrashDumpInformation, // 32 Y N
 SystemExceptionInformation, // 33 Y N
 SystemCrashDumpStateInformation, // 34 Y Y/N
 SystemKernelDebuggerInformation, // 35 Y N
 SystemContextSwitchInformation, // 36 Y N
 SystemRegistryQuotaInformation, // 37 Y Y
 SystemLoadAndCallImage, // 38 N Y
 SystemPrioritySeparation, // 39 N Y
 SystemNotImplemented10, // 40 Y N
 SystemNotImplemented11, // 41 Y N
 SystemInvalidInfoClass2, // 42
 SystemInvalidInfoClass3, // 43
 SystemTimeZoneInformation, // 44 Y N
 SystemLookasideInformation, // 45 Y N
 SystemSetTimeSlipEvent, // 46 N Y
 SystemCreateSession, // 47 N Y
 SystemDeleteSession, // 48 N Y
 SystemInvalidInfoClass4, // 49
 SystemRangeStartInformation, // 50 Y N
 SystemVerifierInformation, // 51 Y Y
 SystemAddVerifier, // 52 N Y
 SystemSessionProcessesInformation // 53 Y N
}SYSTEM_INFORMATION_CLASS;

2.调用方式:
(1).功能号为11,先获取所需的缓冲区大小

(1).功能号为11,先获取所需的缓冲区大小
ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);
(2).申请内存
Ring3层 ZwAllocateVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,0,&needlen,MEM_COMMIT,PAGE_READWRITE);
Ring0层 ExAllocatePool( NonPagedPool, NeedSize );
(3).再次调用
ZwQuerySystemInformation(SystemModuleInformation,(PVOID)pBuf,truelen,&needlen);
......
(4).最后,释放内存
Ring3层 ZwFreeVirtualMemory(NtCurrentProcess(),(PVOID*)&pBuf,&needlen,MEM_RELEASE);
Ring0层 ExFreePool(pBuffer);
3.返回数据:
缓冲区pBuf的前四个字节是已加载的模块总数,记为ModuleCnt。接下来就是共有ModuleCnt个元素的模块信息数组了。
该结构如下:
typedef struct _SYSTEM_MODULE_INFORMATION {
 ULONG Count;
 SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
模块详细信息结构如下:
typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {
 HANDLE Section;
 PVOID MappedBase;
 PVOID Base;
 ULONG Size;
 ULONG Flags;
 USHORT LoadOrderIndex;
 USHORT InitOrderIndex;
 USHORT LoadCount;
 USHORT PathLength;
 CHAR ImageName[256];
}SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

4.基于pBuf的几个函数封装:
//函数功能:输出所有模块信息
//参数pBuf:ZwQuerySystemInformation返回的缓冲区首址
void ShowAllModules(char *pBuf)
{
 PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
 DWORD Modcnt=0;
 Modcnt=*(DWORD*)pBuf; //模块数量
 pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
 for (DWORD i=0;i<Modcnt;i++)
 {
    DbgPrint("%d/t0x%08X 0x%08X %s/n",pSysModuleInfo->LoadOrderIndex,pSysModuleInfo->Base,pSysModuleInfo->Size,pSysModuleInfo->ImageName);
    pSysModuleInfo++;
 }
}

//函数功能:返回系统内核(ntoskrnl.exe或ntkrnlpa.exe)的基址和路径
//参数pBuf:ZwQuerySystemInformation返回的缓冲区首址
//参数KernelBase:接收返回的系统内核的基址
//参数szKrnlPath:接收返回的内核文件的路径
void GetOSKrnlInfo(char *pBuf,DWORD *KernelBase,char *szKrnlPath)
{
 PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
 DWORD Modcnt=0;
 *KernelBase=0;
 Modcnt=*(DWORD*)pBuf;
 pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
 //其实第一个模块就是了,还是验证一下吧
 if (strstr((strlwr(pSysModuleInfo->ImageName),pSysModuleInfo->ImageName),"nt"))
 {
    *KernelBase=(DWORD)pSysModuleInfo->Base;
    GetSystemDirectory(szKrnlPath,MAX_PATH);
    lstrcat(szKrnlPath,strrchr(pSysModuleInfo->ImageName,'//'));
 }
}

//函数功能:找出给定地址所在的模块
//参数pBuf:缓冲区地址,同上
//参数dwAddress:要查询的内核地址
//参数ModulePath:接收返回的模块路径
void DetectModule(char *pBuf,DWORD dwAddress,char *ModulePath)
{
 PSYSTEM_MODULE_INFORMATION_ENTRY pSysModuleInfo;
 DWORD Modcnt=0;
 Modcnt=*(DWORD*)pBuf;
 pSysModuleInfo=(PSYSTEM_MODULE_INFORMATION_ENTRY)(pBuf+sizeof(DWORD));
 for(DWORD i=0;i<Modcnt;i++)
 {
  if((dwAddress>=(DWORD)pSysModuleInfo->Base)&&(dwAddress<(DWORD)pSysModuleInfo->Base+pSysModuleInfo->Size))
  {
   lstrcpy(ModulePath,pSysModuleInfo->ImageName);
  }
  pSysModuleInfo++;
 }
}


 

动起手来实现白日梦
关注
专栏目录
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4733
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
遍历内核驱动模块
HXC_HUANG的博客
03-05 5388
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation实现隐藏进程,在XP里测试通过。
【旧文章搬运】ZwQuerySystemInformation枚举内核模块简单应用
weixin_30920853的博客
12-26 201
原文发表于百度空间,2008-10-24========================================================================== 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,...
ZwQuerySystemInformation枚举模块问题分析
最新发布
sunjiaoya的博客
09-30 637
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
ZwQuerySystemInformation 用来枚举内核模块
lif12345的专栏
03-04 1538
ZwQuerySystemInformation 用来枚举内核模块
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6378
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
内核下枚举进程 (二)ZwQuerySystemInformation
10-09 877
说明: SYSTEM_INFORMATION_CLASS 的5号功能枚举进程信息。其是这个函数对应着ring3下的 NtQuerySystemInformation,但msdn上说win8以后ZwQuerySystemInformation函数已经不可用,本人也没有在win8下测试过。留给读者自己实验吧。顺便罗嗦一下,不像ring3下使用此函数是要先LoadLibrary,然后GetPr...
MFC枚举进程内核句柄
12-01
1. **Win32 API调用**:MFC虽然提供了丰富的类库,但枚举内核句柄需要使用Windows API,如`OpenProcess`来获取目标进程的访问权限,`EnumProcessModules`和`GetModuleBaseName`获取进程模块信息,以及`NtQueryObject...
关于未公开函数ZwQuerySystemInformation的使用
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
ZwQuerySystemInformation 查看系统进程信息
03-27
ZwQuerySystemInformation 查看系统进程信息
ZwQuerySystemInformation获取进程列表信息
04-24
测试环境Delphi2009,Windows10。能够通过ZwQuerySystemInformation获取进程信息块,详细的记录类型的参数都标注清楚的。这个函数相对于进程快照有一个缺陷,不能及时得获取我自己进程的信息。(可能是我自己哪里出错,但进程信息都是能够正确获取的)代码是我自己测试可用的
列举进程的内核函数ZwQuerySystemInformation _asm
09-06 1391
编译的时候指定控制台模式/subsystem:CONSOLE .586.model flat, stdcalloption casemap:noneinclude windows.incinclude kernel32.incinclude user32.incinclude masm32.incinclude advapi32.incincludelib kernel32.libincludel
ZwQuerySystemInformation
friendan的专栏
09-11 3185
ZwQuerySystemInformation.h #ifndef ZwQuerySystemInformation_H_ #define ZwQuerySystemInformation_H_ #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,
关于ZwQuerySystemInformation
yuejunqi的专栏
09-01 590
ZwQuerySystemInformation<br />[ZwQuerySystemInformation may be altered or unavailable in subsequent versions of Windows. Applications should use the alternate functions listed in this topic.]<br />Retrieves the specified system information.NTSTATUS WINAPI
ZwQuerySystemInformation函数学习
bcbobo21cn的专栏
06-17 150
Windows任务管理器枚举进程信息是通过NtQuerySystemInformation函数,NtQuerySystemInformation又通过ZwQuerySystemInformation
ZwQuerySystemInformation函数[msdn文档]
一个观察者
08-04 1977
7 out of 15 rated this helpful - Rate this topic [ZwQuerySystemInformation 在Windows 8里不再被使用。而取而代它的, 是在这个主题里列举的替代函数。] 找回指定的系统信息。 语法 C++ NTSTATUS WINAPI ZwQueryS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值