Windows XP内核变量

最新推荐文章于 2022-03-27 14:12:02 发布
最新推荐文章于 2022-03-27 14:12:02 发布
阅读量4.2k 收藏 5
点赞数
文章标签: windows header variables struct list c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misterliwei/article/details/1660819
版权

本文是根据网上的两篇文章《Finding some non-exported kernel variables in windows xp》和《Getting Kernel Variables from KdVersionBLOCK, Part 2》得出的结果,作的总结。

_KPCR

   +0x000 NtTib            : _NT_TIB

   +0x01c SelfPcr          : Ptr32 _KPCR

   +0x020 Prcb             : Ptr32 _KPRCB

   +0x024 Irql             : UChar

   +0x028 IRR              : Uint4B

   +0x02c IrrActive        : Uint4B

   +0x030 IDR              : Uint4B

   +0x034 KdVersionBlock   : Ptr32 Void   ß此处

   +0x038 IDT              : Ptr32 _KIDTENTRY

   +0x03c GDT              : Ptr32 _KGDTENTRY

   +0x040 TSS              : Ptr32 _KTSS

   +0x044 MajorVersion     : Uint2B

   +0x046 MinorVersion     : Uint2B

   +0x048 SetMember        : Uint4B

   +0x04c StallScaleFactor : Uint4B

   +0x050 DebugActive      : UChar

   +0x051 Number           : UChar

   +0x052 Spare0           : UChar

   +0x053 SecondLevelCacheAssociativity : UChar

   +0x054 VdmAlert         : Uint4B

   +0x058 KernelReserved   : [14] Uint4B

   +0x090 SecondLevelCacheSize : Uint4B

   +0x094 HalReserved      : [16] Uint4B

   +0x0d4 InterruptMode    : Uint4B

   +0x0d8 Spare1           : UChar

   +0x0dc KernelReserved2  : [17] Uint4B

   +0x120 PrcbData         : _KPRCB

 

 

 

typedef struct _DBGKD_GET_VERSION64 {

    +0x000  USHORT  MajorVersion;

    +0x002     USHORT  MinorVersion;

    +0x004     USHORT  ProtocolVersion;

    +0x006     USHORT  Flags;

    +0x008     USHORT  MachineType;

    +0x00a     UCHAR   MaxPacketType;

    +0x00b     UCHAR   MaxStateChange;

    +0x00c     UCHAR   MaxManipulate;

    +0x00d     UCHAR   Simulation;

    +0x00e     USHORT  Unused[1];

    +0x010     ULONG64 KernBase;

+0x018     ULONG64 PsLoadedModuleList;

+0x020     ULONG64 DebuggerDataList;  ß此处

 

} DBGKD_GET_VERSION64, *PDBGKD_GET_VERSION64;

 

//

typedef struct _DBGKD_DEBUG_DATA_HEADER64 {

   +0x000     LIST_ENTRY64 List;

   +0x010     ULONG           OwnerTag;

   +0x014        ULONG           Size;

} DBGKD_DEBUG_DATA_HEADER64, *PDBGKD_DEBUG_DATA_HEADER64;

 

typedef struct _KDDEBUGGER_DATA64 {

    +0x000     DBGKD_DEBUG_DATA_HEADER64 Header;

    +0x018     ULONG64   KernBase;

    +0x020     ULONG64   BreakpointWithStatus;

    +0x028     ULONG64   SavedContext;

+0x030     USHORT  ThCallbackStack;       

+0x032     USHORT  NextCallback;  

    +0x034     USHORT  FramePointer;

    +0x036     USHORT  PaeEnabled:1;

    +0x038     ULONG64   KiCallUserMode;

    +0x040     ULONG64   KeUserCallbackDispatcher;

    +0x048     ULONG64   PsLoadedModuleList;

    +0x050     ULONG64   PsActiveProcessHead;

    +0x058     ULONG64   PspCidTable;

    +0x060     ULONG64   ExpSystemResourcesList;

    +0x068     ULONG64   ExpPagedPoolDescriptor;

    +0x070     ULONG64   ExpNumberOfPagedPools;

    +0x078     ULONG64   KeTimeIncrement;

    +0x080     ULONG64   KeBugCheckCallbackListHead;

    +0x088     ULONG64   KiBugcheckData;

    +0x090     ULONG64   IopErrorLogListHead;

    +0x098     ULONG64   ObpRootDirectoryObject;

    +0x0a0     ULONG64   ObpTypeObjectType;

    +0x0a8     ULONG64   MmSystemCacheStart;

    +0x0b0     ULONG64   MmSystemCacheEnd;

    +0x0b8     ULONG64   MmSystemCacheWs;

    +0x0c0     ULONG64   MmPfnDatabase;

    +0x0c8     ULONG64   MmSystemPtesStart;

    +0x0d0     ULONG64   MmSystemPtesEnd;

    +0x0d8     ULONG64   MmSubsectionBase;

    +0x0e0     ULONG64   MmNumberOfPagingFiles;

    +0x0e8     ULONG64   MmLowestPhysicalPage;

    +0x0f0      ULONG64   MmHighestPhysicalPage;

    +0x0f8      ULONG64   MmNumberOfPhysicalPages;

    +0x100     ULONG64   MmMaximumNonPagedPoolInBytes;

    +0x108     ULONG64   MmNonPagedSystemStart;

    +0x110     ULONG64   MmNonPagedPoolStart;

    +0x118     ULONG64   MmNonPagedPoolEnd;

    +0x120     ULONG64   MmPagedPoolStart;

    +0x128     ULONG64   MmPagedPoolEnd;

    +0x130     ULONG64   MmPagedPoolInformation;

    +0x138     ULONG64   MmPageSize;

    +0x140     ULONG64   MmSizeOfPagedPoolInBytes;

    +0x148     ULONG64   MmTotalCommitLimit;

    +0x150     ULONG64   MmTotalCommittedPages;

    +0x158     ULONG64   MmSharedCommit;

    +0x160     ULONG64   MmDriverCommit;

    +0x168     ULONG64   MmProcessCommit;

    +0x170     ULONG64   MmPagedPoolCommit;

    +0x178     ULONG64   MmExtendedCommit;

    +0x180     ULONG64   MmZeroedPageListHead;

    +0x188     ULONG64   MmFreePageListHead;

    +0x190     ULONG64   MmStandbyPageListHead;

    +0x198     ULONG64   MmModifiedPageListHead;

    +0x1a0     ULONG64   MmModifiedNoWritePageListHead;

    +0x1a8     ULONG64   MmAvailablePages;

    +0x1b0     ULONG64   MmResidentAvailablePages;

    +0x1b8     ULONG64   PoolTrackTable;

    +0x1c0     ULONG64   NonPagedPoolDescriptor;

    +0x1c8     ULONG64   MmHighestUserAddress;

    +0x1d0     ULONG64   MmSystemRangeStart;

    +0x1d8     ULONG64   MmUserProbeAddress;

    +0x1e0     ULONG64   KdPrintCircularBuffer;

    +0x1e8     ULONG64   KdPrintCircularBufferEnd;

    +0x1f0      ULONG64   KdPrintWritePointer;

    +0x1f8      ULONG64   KdPrintRolloverCount;

    +0x200     ULONG64   MmLoadedUserImageList;

    // NT 5.1 Addition

    +0x208     ULONG64   NtBuildLab;

    +0x210     ULONG64   KiNormalSystemCall;

    // NT 5.0 QFE addition

    +0x218     ULONG64   KiProcessorBlock;

    +0x220     ULONG64   MmUnloadedDrivers;

    +0x228     ULONG64   MmLastUnloadedDriver;

    +0x230     ULONG64   MmTriageActionTaken;

    +0x238     ULONG64   MmSpecialPoolTag;

    +0x240     ULONG64   KernelVerifier;

    +0x248     ULONG64   MmVerifierData;

    +0x250     ULONG64   MmAllocatedNonPagedPool;

    +0x258     ULONG64   MmPeakCommitment;

    +0x260     ULONG64   MmTotalCommitLimitMaximum;

    +0x268     ULONG64   CmNtCSDVersion;

    // NT 5.1 Addition

    +0x270     ULONG64   MmPhysicalMemoryBlock;

    +0x278     ULONG64   MmSessionBase;

    +0x280     ULONG64   MmSessionSize;

    +0x288     ULONG64   MmSystemParentTablePage;

} KDDEBUGGER_DATA64, *PKDDEBUGGER_DATA64;

 

NT 5.0 就是Windows 2000;NT5.1就是Windows XP.

 

misterliwei
关注
MmLoadDriver内存加载驱动.7z
10-22
64位环境下已签名驱动中实现加载未签名驱动,程序是源代码,可修改编译
fs:[0]到底表示什么?fs段寄存器在WINDOWS系统中的作用
热门推荐
CharlesPrince的专栏
04-29 1万+
fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs段寄存器在WINDOWS系统中的作用
WinDbg x64内核之寻找KdVersionBlock
weixin_43821278的博客
03-27 1326
😀 Win 10 x64 内核之 寻找KdVersionBlock一、_KPCR二、_DBGKD_GET_VERSION64总结 找这个的目的是什么的就不说了。 提示:以下是本篇文章正文内容,下面案例可供参考 一、_KPCR 由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processo.
[驱动开发] 驱动隐藏 - driveEntry返回失败
LYSM
06-10 1477
常见隐藏驱动的方式: 驱动模块断链 调用MiProcessLoadEntry删除驱动对象(据说不会触发PG) 清理MmUnloadDriver List 和 PiDDBCacheTable两处 driveEntry返回失败 驱动模块加载后立即卸载 今天介绍一种driveEntry返回失败隐藏驱动的方法 —— DriverEntry返回失败 原理 windows会根据DriverEntry的返回值判断驱动是否加载成功。如果返回成功,会在注册表详细记录,并将sys文件复制到System32/drivers
WIN7 64位之动态定位ObpRootDirectoryObjct
qq_37213846的博客
09-28 898
一 . 关于内核目录对象的基础知识请了解其他作者写的博客, 此文只讲述如何动态定位目录对象的起始位置. 二 . ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。 打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootD...
5.1.2600_WindowsXP内核结构_vim_
09-29
《深入剖析Windows XP内核结构:VIM配置与符号文件》 Windows XP是微软公司推出的一款经典操作系统,其内核结构复杂而精妙,对于理解操作系统原理和进行系统级编程至关重要。在这个过程中,VIM编辑器作为一个强大的...
windows xp sp2 symbol
11-29
Windows XP Service Pack 2(SP2)的开发和维护过程中,"symbol"是指调试符号,这些符号是软件开发和调试过程中的重要组成部分。调试符号提供了操作系统内部函数、变量和其他编程元素的详细信息,帮助开发者理解...
windows xp sp3 symbol
11-29
Windows XP SP3(Service Pack 3)操作系统中,“symbol”通常指的是调试符号,这是开发者和系统管理员在诊断和调试软件问题时所必需的关键信息。调试符号提供了关于系统内部函数、变量、类和对象的详细元数据,...
zh-hans_windows_xp_professional_with_service_pack_3_x86(包含符号表).zip
01-31
符号表是用于软件调试的重要工具,它提供了程序运行时的详细信息,如函数名、变量名和内存地址等,这对于理解和分析Windows XP内核的运行机制,以及排查系统层面的问题至关重要。 内核调试是操作系统开发和故障排除...
易语言列举XP内核源码-易语言
06-13
《易语言列举XP内核源码》是一份高级教程,主要针对熟悉易语言的开发者,旨在深入解析Windows XP操作系统内核的工作原理,并通过易语言这一编程工具,让开发者能够理解和操作内核级别的代码。易语言是一款中国本土...
linux内核环境变量,Linux系统结构和环境变量
weixin_36067754的博客
04-30 425
系统结构我们通常说的Linux系统可以划分为四个部分:Linux内核GNU工具图形化桌面环境应用软件每一部分都各司其职,相互配合,下图是Linux系统的基本结构图:Linux系统结构图内核Linux系统的核心是内核内核控制着计算机系统上的所有硬件和软件,在必要的时候分配硬件资源并根据需要执行软件。内核主要负责以下四种功能:系统内存管理软件程序管理硬件设备管理文件系统管理系统内存管理内核不仅仅管理...
Windows内核情景分析》对象管理
strongxu的专栏
01-13 2275
    对象的数据结构都是由对象头和具体对象类型的数据结构两部分组成。对象头OBJECT_HEADER在下,它的上方是具体对象类型的数据结构本身。 nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Pt
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 2774
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存,不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于页面映射的虚拟内存机制: 在硬件上:由CPU芯片内
hibernate_二级缓存(second cache)
qq_31155349的博客
09-22 415
适合用二级缓存的对象: 该对象读的次数远远大于写的次数. 如果每次读出来是为了写(即频繁写的对象),则不适合放入二级缓存. 因为如果一个经常写的对象放入二级缓存, hibernate 需要经常修改二级缓存里存放的该对象, 即锁住map, 其他线程就会锁在这, 性能差. 下面介绍二级缓存如何使用: (1) 告诉hibernate 你使用哪个缓存框架( 以ehcache 为例 ), 在hibe
内核变量——Jiffies
山庄来客的专栏
06-26 964
全局变量jiffies表示自系统启动以来系统产生的嘀嗒数。当启动时,内核初始化该变量为0。每次时钟中断就会增1,所以系统运行时候可以计算为:jiffies/HZ秒。        jiffies变量定义如下: extern unsigned long volatile jiffies; 将jiffies转换为秒:(jiffies / HZ)。将秒换算为jiffies:(seconds*HZ)
使用 Linux 系统调用的内核命令
leopard_ray的专栏
04-19 897
使用 Linux 系统调用的内核命令探究 SCI 并添加自己的调用 文档选项<tr valign="top"><td wid
windows xp sp3 系统kernel32.dll所有导出的API函数列表大全(整理在此,方便查阅,学习)
关注互联网安全的小虾米一枚
03-13 1万+
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管 理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。 ordinal hint RVA name 1
Windows对象 (Object) 的组织
08-23 1355
在《Windows对象(Object)结构》一文中简单的描述了Object的结构,其中一些结构的细节地方尚未提及。这篇文章中,主要讨论对象管理器(Object Manager)如何组织系统中的各种对象。与文件系统管理文件的方法类似,Windows对象管理器将系统中的对象按照树状结构进行存储。可以使用www.sysinternals.com的winobj来观察系统中的对象。既然系统以树状结构
获取操作系统的内核基地址
weixin_33724046的博客
11-05 450
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
Windows XP启动五步解析:从POST到登录
根据BOOT.INI文件,引导加载器将选择的Windows XP 内核(ntoskrnl.exe)以及HAL(硬件抽象层)加载到内存,HAL使得操作系统能与不同类型的硬件进行通信。 4. **初始化内核阶段** 内核开始初始化系统服务,如设备...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值