Windows XP内核变量

最新推荐文章于 2024-11-04 10:38:25 发布
最新推荐文章于 2024-11-04 10:38:25 发布
阅读量4.2k 收藏 5
点赞数
文章标签: windows header variables struct list c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misterliwei/article/details/1660819
版权

本文是根据网上的两篇文章《Finding some non-exported kernel variables in windows xp》和《Getting Kernel Variables from KdVersionBLOCK, Part 2》得出的结果,作的总结。

_KPCR

   +0x000 NtTib            : _NT_TIB

   +0x01c SelfPcr          : Ptr32 _KPCR

   +0x020 Prcb             : Ptr32 _KPRCB

   +0x024 Irql             : UChar

   +0x028 IRR              : Uint4B

   +0x02c IrrActive        : Uint4B

   +0x030 IDR              : Uint4B

   +0x034 KdVersionBlock   : Ptr32 Void   ß此处

   +0x038 IDT              : Ptr32 _KIDTENTRY

   +0x03c GDT              : Ptr32 _KGDTENTRY

   +0x040 TSS              : Ptr32 _KTSS

   +0x044 MajorVersion     : Uint2B

   +0x046 MinorVersion     : Uint2B

   +0x048 SetMember        : Uint4B

   +0x04c StallScaleFactor : Uint4B

   +0x050 DebugActive      : UChar

   +0x051 Number           : UChar

   +0x052 Spare0           : UChar

   +0x053 SecondLevelCacheAssociativity : UChar

   +0x054 VdmAlert         : Uint4B

   +0x058 KernelReserved   : [14] Uint4B

   +0x090 SecondLevelCacheSize : Uint4B

   +0x094 HalReserved      : [16] Uint4B

   +0x0d4 InterruptMode    : Uint4B

   +0x0d8 Spare1           : UChar

   +0x0dc KernelReserved2  : [17] Uint4B

   +0x120 PrcbData         : _KPRCB

 

 

 

typedef struct _DBGKD_GET_VERSION64 {

    +0x000  USHORT  MajorVersion;

    +0x002     USHORT  MinorVersion;

    +0x004     USHORT  ProtocolVersion;

    +0x006     USHORT  Flags;

    +0x008     USHORT  MachineType;

    +0x00a     UCHAR   MaxPacketType;

    +0x00b     UCHAR   MaxStateChange;

    +0x00c     UCHAR   MaxManipulate;

    +0x00d     UCHAR   Simulation;

    +0x00e     USHORT  Unused[1];

    +0x010     ULONG64 KernBase;

+0x018     ULONG64 PsLoadedModuleList;

+0x020     ULONG64 DebuggerDataList;  ß此处

 

} DBGKD_GET_VERSION64, *PDBGKD_GET_VERSION64;

 

//

typedef struct _DBGKD_DEBUG_DATA_HEADER64 {

   +0x000     LIST_ENTRY64 List;

   +0x010     ULONG           OwnerTag;

   +0x014        ULONG           Size;

} DBGKD_DEBUG_DATA_HEADER64, *PDBGKD_DEBUG_DATA_HEADER64;

 

typedef struct _KDDEBUGGER_DATA64 {

    +0x000     DBGKD_DEBUG_DATA_HEADER64 Header;

    +0x018     ULONG64   KernBase;

    +0x020     ULONG64   BreakpointWithStatus;

    +0x028     ULONG64   SavedContext;

+0x030     USHORT  ThCallbackStack;       

+0x032     USHORT  NextCallback;  

    +0x034     USHORT  FramePointer;

    +0x036     USHORT  PaeEnabled:1;

    +0x038     ULONG64   KiCallUserMode;

    +0x040     ULONG64   KeUserCallbackDispatcher;

    +0x048     ULONG64   PsLoadedModuleList;

    +0x050     ULONG64   PsActiveProcessHead;

    +0x058     ULONG64   PspCidTable;

    +0x060     ULONG64   ExpSystemResourcesList;

    +0x068     ULONG64   ExpPagedPoolDescriptor;

    +0x070     ULONG64   ExpNumberOfPagedPools;

    +0x078     ULONG64   KeTimeIncrement;

    +0x080     ULONG64   KeBugCheckCallbackListHead;

    +0x088     ULONG64   KiBugcheckData;

    +0x090     ULONG64   IopErrorLogListHead;

    +0x098     ULONG64   ObpRootDirectoryObject;

    +0x0a0     ULONG64   ObpTypeObjectType;

    +0x0a8     ULONG64   MmSystemCacheStart;

    +0x0b0     ULONG64   MmSystemCacheEnd;

    +0x0b8     ULONG64   MmSystemCacheWs;

    +0x0c0     ULONG64   MmPfnDatabase;

    +0x0c8     ULONG64   MmSystemPtesStart;

    +0x0d0     ULONG64   MmSystemPtesEnd;

    +0x0d8     ULONG64   MmSubsectionBase;

    +0x0e0     ULONG64   MmNumberOfPagingFiles;

    +0x0e8     ULONG64   MmLowestPhysicalPage;

    +0x0f0      ULONG64   MmHighestPhysicalPage;

    +0x0f8      ULONG64   MmNumberOfPhysicalPages;

    +0x100     ULONG64   MmMaximumNonPagedPoolInBytes;

    +0x108     ULONG64   MmNonPagedSystemStart;

    +0x110     ULONG64   MmNonPagedPoolStart;

    +0x118     ULONG64   MmNonPagedPoolEnd;

    +0x120     ULONG64   MmPagedPoolStart;

    +0x128     ULONG64   MmPagedPoolEnd;

    +0x130     ULONG64   MmPagedPoolInformation;

    +0x138     ULONG64   MmPageSize;

    +0x140     ULONG64   MmSizeOfPagedPoolInBytes;

    +0x148     ULONG64   MmTotalCommitLimit;

    +0x150     ULONG64   MmTotalCommittedPages;

    +0x158     ULONG64   MmSharedCommit;

    +0x160     ULONG64   MmDriverCommit;

    +0x168     ULONG64   MmProcessCommit;

    +0x170     ULONG64   MmPagedPoolCommit;

    +0x178     ULONG64   MmExtendedCommit;

    +0x180     ULONG64   MmZeroedPageListHead;

    +0x188     ULONG64   MmFreePageListHead;

    +0x190     ULONG64   MmStandbyPageListHead;

    +0x198     ULONG64   MmModifiedPageListHead;

    +0x1a0     ULONG64   MmModifiedNoWritePageListHead;

    +0x1a8     ULONG64   MmAvailablePages;

    +0x1b0     ULONG64   MmResidentAvailablePages;

    +0x1b8     ULONG64   PoolTrackTable;

    +0x1c0     ULONG64   NonPagedPoolDescriptor;

    +0x1c8     ULONG64   MmHighestUserAddress;

    +0x1d0     ULONG64   MmSystemRangeStart;

    +0x1d8     ULONG64   MmUserProbeAddress;

    +0x1e0     ULONG64   KdPrintCircularBuffer;

    +0x1e8     ULONG64   KdPrintCircularBufferEnd;

    +0x1f0      ULONG64   KdPrintWritePointer;

    +0x1f8      ULONG64   KdPrintRolloverCount;

    +0x200     ULONG64   MmLoadedUserImageList;

    // NT 5.1 Addition

    +0x208     ULONG64   NtBuildLab;

    +0x210     ULONG64   KiNormalSystemCall;

    // NT 5.0 QFE addition

    +0x218     ULONG64   KiProcessorBlock;

    +0x220     ULONG64   MmUnloadedDrivers;

    +0x228     ULONG64   MmLastUnloadedDriver;

    +0x230     ULONG64   MmTriageActionTaken;

    +0x238     ULONG64   MmSpecialPoolTag;

    +0x240     ULONG64   KernelVerifier;

    +0x248     ULONG64   MmVerifierData;

    +0x250     ULONG64   MmAllocatedNonPagedPool;

    +0x258     ULONG64   MmPeakCommitment;

    +0x260     ULONG64   MmTotalCommitLimitMaximum;

    +0x268     ULONG64   CmNtCSDVersion;

    // NT 5.1 Addition

    +0x270     ULONG64   MmPhysicalMemoryBlock;

    +0x278     ULONG64   MmSessionBase;

    +0x280     ULONG64   MmSessionSize;

    +0x288     ULONG64   MmSystemParentTablePage;

} KDDEBUGGER_DATA64, *PKDDEBUGGER_DATA64;

 

NT 5.0 就是Windows 2000;NT5.1就是Windows XP.

 

misterliwei
关注
windows XP系统内核文件分析(全)
06-12
详细讲解了windows XP系统内核文件分析(全)
windows XP系统内核文件分析
weixin_34378045的博客
08-04 365
C:/WINDOWS/system32:12520437.cpx ...代码页转换表. 12520850.cpx ... 代码页转换表.6to4svc.dll ....在 IP4网络上提供IPv6 连接的服务aaaamon.dll ....Aaaa Monitor Dll acledit.dll ....访问控制列表编辑器ac3filter.cpl ..ac3filter 控制面板扩展 属于我所安...
内核变量——Jiffies
山庄来客的专栏
06-26 972
全局变量jiffies表示自系统启动以来系统产生的嘀嗒数。当启动时,内核初始化该变量为0。每次时钟中断就会增1,所以系统运行时候可以计算为:jiffies/HZ秒。        jiffies变量定义如下: extern unsigned long volatile jiffies; 将jiffies转换为秒:(jiffies / HZ)。将秒换算为jiffies:(seconds*HZ)
Windows内核重要变量
Hades的博客
05-03 519
Windows内核重要变量转自http://www.cnblogs.com/xuanyuan/
linux内核环境变量,Linux系统结构和环境变量
weixin_36067754的博客
04-30 444
系统结构我们通常说的Linux系统可以划分为四个部分:Linux内核GNU工具图形化桌面环境应用软件每一部分都各司其职,相互配合,下图是Linux系统的基本结构图:Linux系统结构图内核Linux系统的核心是内核内核控制着计算机系统上的所有硬件和软件,在必要的时候分配硬件资源并根据需要执行软件。内核主要负责以下四种功能:系统内存管理软件程序管理硬件设备管理文件系统管理系统内存管理内核不仅仅管理...
使用 Linux 系统调用的内核命令
leopard_ray的专栏
04-19 919
使用 Linux 系统调用的内核命令探究 SCI 并添加自己的调用 文档选项<tr valign="top"><td wid
5.1.2600_WindowsXP内核结构_vim_
09-29
《深入剖析Windows XP内核结构:VIM配置与符号文件》 Windows XP是微软公司推出的一款经典操作系统,其内核结构复杂而精妙,对于理解操作系统原理和进行系统级编程至关重要。在这个过程中,VIM编辑器作为一个强大的...
zh-hans_windows_xp_professional_with_service_pack_3_x86(包含符号表).zip
01-31
符号表是用于软件调试的重要工具,它提供了程序运行时的详细信息,如函数名、变量名和内存地址等,这对于理解和分析Windows XP内核的运行机制,以及排查系统层面的问题至关重要。 内核调试是操作系统开发和故障排除...
Windows XP SP2内核符号表免费分享
资源摘要信息:"WindowsXP-SP2-slp-KB835935Symbols.zip是一个Windows XP Service Pack 2 (SP2) 的符号文件压缩包。符号文件(Symbols)是用于调试程序的辅助文件,它们包含了程序运行时的内存地址与函数、变量等源...
通用PE XP内核ISO镜像
09-16
通用PE工具箱是一款极适合于网管、装机人员使用的多功能WinPE系统维护工具箱,它基于Windows PE制作,支持USB 2.0/SCSI/Netcard等设备,操作简便,界面清爽。您可以使用它进行磁盘分区、格式化、磁盘克隆、修改密码、数据恢复、系统安装等一系列日常应急维护工作。相比同性质的DOS系统维护工具,PE工具箱更容易操作、更容易上手。
windows xp sp2 symbol
11-29
Windows XP Service Pack 2(SP2)的开发和维护过程中,"symbol"是指调试符号,这些符号是软件开发和调试过程中的重要组成部分。调试符号提供了操作系统内部函数、变量和其他编程元素的详细信息,帮助开发者理解...
易语言列举XP内核源码-易语言
06-13
《易语言列举XP内核源码》是一份高级教程,主要针对熟悉易语言的开发者,旨在深入解析Windows XP操作系统内核的工作原理,并通过易语言这一编程工具,让开发者能够理解和操作内核级别的代码。易语言是一款中国本土...
Windows XP 常用内核数据结构定义[Delphi/Pascal格式]
Windows System Kernel Development
04-10 1120
windows几个重要的内核数据结构虽然网上也有相关的定义,但个人觉得不齐全定义不规范,因此用一天时间使用WinDbg+Win2000sourcecode重新定义了常用的内核数据结构,并尽可能还原微软的原结构定义,每个结构都递归到最子层的结构并且通过了测试。通过这次工作过程不仅使自己得到一次学习的机会,而且提高了自己的整体软件架构规划设计水平。(如果转帖请著名出处,谢谢。){*********
xp内核重载 小实验
SharenFish的博客
11-30 338
原理: 1.为物理地址扩展的 内核模块ntkrnlpa.exe申请一块新的SizeOfImage大小的内存 2.将ntkrnlpa.exe拉伸读取至新申请的内存 3.修复新申请的ntkrnlpa.exe重定位表 4.修复新申请的ntkrnlpa.exe系统服务表 5.在KiFastCallEntry关键部位加钩子 6.处理你感兴趣的程序 让它调用新的内核模块 测试通过 //测试代码 #include <ntddk.h> //系统服务描述符表 typedef struct Servic
(转载)获取Windows 系统的内核变量
Kendiv's Box
11-12 1920
获取Windows 系统的内核变量转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内核变量作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]com        tombkeeper[0x40]xfocus[0x
WIN7 64位之动态定位ObpRootDirectoryObjct
qq_37213846的博客
09-28 917
一 . 关于内核目录对象的基础知识请了解其他作者写的博客, 此文只讲述如何动态定位目录对象的起始位置. 二 . ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。 打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootD...
[驱动开发] 驱动隐藏 - driveEntry返回失败
LYSM
06-10 1563
常见隐藏驱动的方式: 驱动模块断链 调用MiProcessLoadEntry删除驱动对象(据说不会触发PG) 清理MmUnloadDriver List 和 PiDDBCacheTable两处 driveEntry返回失败 驱动模块加载后立即卸载 今天介绍一种driveEntry返回失败隐藏驱动的方法 —— DriverEntry返回失败 原理 windows会根据DriverEntry的返回值判断驱动是否加载成功。如果返回成功,会在注册表详细记录,并将sys文件复制到System32/drivers
LeetCode 热题100(七)【链表】(1)
最新发布
jrrz0828的博客
11-04 1116
的输入如下(你设计的程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值