_LDR_DATA_TABLE_ENTRY 遍历

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndl1302732/article/details/82876922
版权

 

 

#include "stdafx.h"
#include <stdlib.h>
#include <Windows.h>
#include <Ntsecapi.h>    //for unicode_string

typedef _LIST_ENTRY *PLIST_ENTRY;


void ShowModuleInfo(PLIST_ENTRY pEntry);
int _tmain(int argc, _TCHAR* argv[])
{
    PLIST_ENTRY pFirstModule = NULL;
    PLIST_ENTRY pLastModule = NULL;
    PLIST_ENTRY pListEntry = NULL;
    

     //通过fs寄存器拿到ldr链表
    __asm{
        pushad
        mov eax, dword ptr fs:[0x30]    //get peb
        mov eax, dword ptr[eax + 0xc]    //get ldr 
        lea eax, dword ptr[eax + 0x1c]    //get list_entry
        mov pListEntry, eax
        popad
    }

    pFirstModule = pListEntry->Flink;
    pLastModule = pFirstModule->Blink;

    while (pFirstModule != pLastModule){
        ShowModuleInfo(pFirstModule);
        pFirstModule = pFirstModule->Flink;
    }
    
    ShowModuleInfo(pFirstModule);
    getchar();
    return 0;
}

void ShowModuleInfo(PLIST_ENTRY pEntry){
    byte * pBase = (byte *)pEntry;
    PUNICODE_STRING pUnicode = (PUNICODE_STRING)(pBase + sizeof(_LIST_ENTRY) + 
    sizeof(DWORD)* 3 + sizeof(UNICODE_STRING));
    
    printf("DllBase=%p EntryPoint=%p BaseDllName = %ws\n",    
            *(DWORD *)(pBase + sizeof(_LIST_ENTRY)),                        //DllBase
            *(DWORD *)(pBase + sizeof(_LIST_ENTRY) + sizeof(DWORD)),        //EntryPoint
            pUnicode->Buffer);                                                //BaseDllName
}

ndl1302732
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LDR.rar_LDR_arm ldr_ldr arm
09-22
本篇文章将深入探讨ARM架构中的LDR指令和LDR伪指令,这对于任何涉及ARM编程的朋友来说都是极其重要的知识。 首先,我们来了解LDR指令。LDR是Load Register的缩写,它用于从内存加载数据到寄存器。基本格式为:LDR ,...
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 897
_LDR_DATA_TABLE_ENTRY结构体
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1797
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1440
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
Windows内核模块名称遍历
qq726232111的博客
12-15 839
0x00 原理 内核模块信息以_LDR_DATA_TABLE_ENTRY结构形式存在于系统, 该结构以双向链表将所有的模块信息关联起来。 0x01 实现 1.1 基于WinDbg获取_LDR_DATA_TABLE_ENTRY结构 在WinDbg中调试过程中输入 dt _LDR_DATA_TABLE_ENTRY 来获取_LDR_DATA_TABLE_ENTRY结构结构信息 以下是我在调试Win10时获取的信息: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_D..
进程强杀探究
hongduilanjun的博客
03-07 2019
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
LDR.zip_Dark_LDR_light sensor
09-22
**光敏电阻(LDR)基础** 光敏电阻,又称为光依赖电阻(Light Dependent Resistor,简称LDR),是一种特殊类型的电阻器,其电阻值会随着光照强度的变化而变化。在没有光照的情况下,LDR的电阻非常高,通常达到兆欧...
LDR.rar_LDR
09-23
programa en C muy sencillo en el que mediante un sensor de luz encendemos una serie de diodos LED en función de la intensidad de luz que capta el sensor
jicunqi.rar_easy
09-24
2. **选择适当的指令**:ARM处理器提供了多种指令集,如LDR(Load Register)用于读取,STR(Store Register)用于写入寄存器。 3. **执行访问**:使用上述指令,配合合适的地址和数据,即可完成对硬件寄存器的操作...
ARM.rar_arm asm
09-24
例如,"ADD"指令用于执行两个操作数的加法,而"LDR"指令则用于从内存中加载数据到寄存器。 分支指令是控制流程的关键部分,它们用于决定程序执行的路径。"B"指令用于无条件跳转,"BL"指令则是带返回地址的跳转,常...
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1758
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd&gt; dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1059
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
游戏里的攻防-检测与反检测
记录生命的轨迹
08-12 1626
游戏爱好者
x64驱动 遍历驱动模块
LYSM
07-02 2149
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
C/C++遍历某进程的模块
热门推荐
CSDN
07-16 1万+
这段代码的目的是通过遍历进程和模块快照,查找到QQ音乐进程,并打印出其模块名。这段代码使用了Windows的Toolhelp32Snapshot API,遍历给定进程的模块快照并打印模块信息。这段代码的目的是获取指定进程的模块信息,并打印出模块的文件名。这段代码使用了Windows API来获取指定进程的模块信息,并打印出模块名。函数,将分配的内存空间作为模块句柄数组传入,并传入先前获取的字节数。函数获取第一个模块的信息,返回一个布尔值表示是否成功。表示进程的ID,将获取该进程的模块信息。
DriverObject->DriverSection结构体LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5686
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
baidu_36226689的博客
04-17 2442
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    S
为何遍历Ldr会得到空项?
diaoyao1979的博客
06-14 210
转自:http://www.0xaa55.com/thread-1385-1-1.html 之前做过ldr遍历的操作,发现第一项竟然是空,也就是大部分元素都是0,下面来揭示一下原理:经过研究,其实Ldr链表得第一项为头结点,为PEB_LDR_DATA结构,而其他所有项均为LDR_DATA_TABLE_ENTRY结构Ldr的创建:ldrinit.c -> LdrpInitializ...
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3061
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值