ZwQuerySystemInformation 用来枚举内核模块

最新推荐文章于 2024-06-17 14:25:59 发布

nLif

最新推荐文章于 2024-06-17 14:25:59 发布

阅读量1.5k

点赞数

分类专栏： ZwQuerySystemInformation 用来枚举内核模块文章标签： ZwQuerySystemInforma

本文链接：https://blog.csdn.net/lif1234567890/article/details/60364250

版权

ZwQuerySystemInformation 用来枚举内核模块专栏收录该内容

0 篇文章 0 订阅

订阅专栏

ZwQuerySystemInformation 函数可以用来枚举内核模块，使用ms 的隐藏功能即可

typedef NTSTATUS (WINAPI* PFN_ZwQuerySystemInformation)(
	_In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,
	_Inout_   PVOID                    SystemInformation,
	_In_      ULONG                    SystemInformationLength,
	_Out_opt_ PULONG                   ReturnLength
	);

SystemInformationClass =11 的时候就是枚举内核模块

此时的数据结构定义如下

#pragma pack(push ,1)
struct SYSTEM_MODULE_INFO_ENTRY
{
	ULONG unk2;
	ULONG unk3;
	ULONG unk4;
	ULONG unk5;
	ULONGLONG base;

	ULONG mSize; 
	ULONG Flags;
	USHORT Index;
	USHORT NameLen;
	USHORT LoadCnt;
	USHORT ModuleNameOffset;
	char ImageName[256];
};

typedef struct _SYSTEM_MODULE_INFO
{
	ULONG count;
	ULONG unk1;
	SYSTEM_MODULE_INFO_ENTRY mods[1];
} SYSTEM_MODULE_INFO,*PSYSTEM_MODULE_INFO;
#pragma pack(pop)

SYSTEM_MODULE_INFO 结构 如果接收缓冲区不足返回C0000004 需要调整缓冲区再使用

注意： 32位的和64位的结构体不一样

这里给的是64位的，而且程序也必须是64位的才行，否则地址会被截断

nLif

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录