AuxKlibQueryModuleInformation---from ddk 文档

最新推荐文章于 2021-10-14 13:38:17 发布
最新推荐文章于 2021-10-14 13:38:17 发布
阅读量381 收藏
点赞数 1
分类专栏: 翻译 文章标签: 操作系统 windows

AuxKlibQueryModuleInformation 例程获取操作系统已经加载的映像模块的信息。 

NTSTATUS
  AuxKlibQueryModuleInformation(
    IN OUT PULONG  BufferSize,
    IN ULONG  ElementSize,
    OUT PVOID  QueryInfo OPTIONAL
    );

参数
BufferSize 是指向一个包含或接受缓冲区大小的位置的指针。如果参数 QueryInfo 为空,这个位置就接受驱动程序(调用了该函数)必须申请用来接受(保存)获取的信息的数组大小的字节数。如果QueryInfo 不为空,这个位置就必须包含一个给定的字节数。
ElementSize 是QueryInfo指针指向数组中每个元素以字节为单位的大小。这个值是sizeof(AUX_MODULE_BASIC_iNFO)或sizeof(AUX_MODULE_EXTENDED_INFO).
QueryInfo 一个指向AUX_MODULE_BASIC_INFO或AUX_MODULE_EXTENDED_INFO结构的数组的指针,该数组用来接受已加载模块的信息。如果这个指针为空,AuxKlibQueryModuleInformation 会将需要写入的缓冲区大小写到BufferSize指向的位置。
返回值
如果操作成功,返回 STATUS_SUCCESS。
如果 QueryInfo 不为空,并且驱动程序提供的缓冲区大小不够用,返回 STATUS_BUFFER_TOO_SMALL 。
可能还有其他的 NT_STATUS 值 。
评论
要获取操作系统家族模块的信息,驱动程序必须:
1.将参数QueryInfo设为NULL,调用AuxKlibQueryModuleInformation ,BufferSize 指向的位置包含驱动程序需要申请数组大小的字节数。
2.调用内存申请例程,例如ExAllocatePoolWithTag,为该数组申请缓冲区。
3.再调用AuxKlibQueryModuleInformation ,这次QueryInfo指针必须包含已申请缓冲区的地址。函数返回后,缓冲区包含模块信息的数组。
在第一次和第二次调用AuxKlibQueryModuleInformation的过程中已加载模块的数量可以改变。
这导致,即便申请了第一次返回的需要数组的大小,第二次调用可能返回 STATUS_BUFFER_TOO_SMALL。
如果调用成功,该例程将映像基址(ImageBase)指写到QueryInfo 数组的每个元素。每个ImageBase值是指向已加载驱动映像基址(base)的指针。只要该驱动仍处于加载状态,这个指针就有效。 调用者因该假设这个驱动可以在任何时刻被卸载,除非调用者能够确保其他情况。例如,驱动可能在调用AuxKlibQueryModuleInformation 获取指向驱动映像的指针与调用使用了该指针的AuxLibGetImageExportDirectory的过程中被卸载。
驱动在使用AuxKlibQueryModuleInformation之前必须调用AuxKlibInitialize 。
例子,下面的代码按照前面的评论段的步骤进行描叙 

(***from ddk***)
NTSTATUS  status;
ULONG  modulesSize;
AUX_MODULE_EXTENDED_INFO*  modules;
ULONG  numberOfModules;
//
// Get the required array size.
//
status = AuxKlibQueryModuleInformation(
                                       &modulesSize,
                                       sizeof(AUX_MODULE_EXTENDED_INFO),
                                       NULL
                                       );

if (!NT_SUCCESS(status) || modulesSize == 0) {
    break;
    }
// Calculate the number of modules.计算模块数量
numberOfModules = modulesSize / sizeof(AUX_MODULE_EXTENDED_INFO);
// Allocate memory to receive data.
modules = 
    (AUX_MODULE_EXTENDED_INFO*) ExAllocatePoolWithTag(
                                      PagedPool,
                                      modulesSize,
                                      '3LxF'
                                      );
if (modules == NULL) {
    status = STATUS_INSUFFICIENT_RESOURCES;
    break;
    }

RtlZeroMemory(modules,modulesSize);//初始化
// Obtain the module information.
status = AuxKlibQueryModuleInformation(
                                       &modulesSize,
                                       sizeof(AUX_MODULE_EXTENDED_INFO),
                                       modules
                                       );
if (!NT_SUCCESS(status)) {
    break;
    }
  --------
  typedef struct _AUX_MODULE_BASIC_INFO {
  PVOID  ImageBase;
} AUX_MODULE_BASIC_INFO, *PAUX_MODULE_BASIC_INFO;

  typedef struct _AUX_MODULE_EXTENDED_INFO {
  AUX_MODULE_BASIC_INFO  BasicInfo;
  ULONG  ImageSize;
  USHORT  FileNameOffset;
  UCHAR  FullPathName [AUX_KLIB_MODULE_PATH_LEN];
} AUX_MODULE_EXTENDED_INFO, *PAUX_MODULE_EXTENDED_INFO;

要求
头文件:定义在 Aux_klib.h,include Aux_klib.h 。

pureman_mega
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DDK.rar_DDK-151 在线_ddk-151_ddk170_ddkaw
09-19
DDK.rar_DDK-151 在线_ddk-151_ddk170_ddkaw 是一个关于驱动开发的资源包,其中包含了DDK(Driver Development Kit)的使用和自定义VC6驱动向导的相关教程。DDK是微软提供的用于开发、调试和测试系统驱动程序的工具...
WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)
Seaquester的专栏
06-06 3241
WDK中的辅助内核模式库(Auxiliary Kernel-Mode Library)WDK中增加了一个辅助内核模式库(Auxiliary Kernel-Mode Library),里面的函数可以让内核模式驱动程序访问某些系统功能。里面包含的函数有下面几个:AuxKlibInitializeAuxKlibQueryModuleInformationAuxKlibGetImageExport
system worker thread---from ddk
pureman_mega的博客
12-21 561
需要进行延迟处理的驱动程序可以使用 work item,它包含一个驱动回调例程指针,该例程进行实际的操作。驱动将workitem入队,然后系统的工作线程(worker thread)会将workitem出队并执行驱动的回调例程。系统维护(maintain)用来处理workitem的系统工作线程池(ExpWorkerThread)。 驱动将一个WorkItem回调例程与workitem相关联
【转】ZwQuerySystemInformation的分析(加载模块)
01-05 227
原帖地址:http://www.mouseos.com/windows/kernel/ZwQuerySystemInformation.html 内核模块可以使有 ZwQuerySystemInformation() 函数来获取已加载模块的信息,这个 routine 的原型定义为: NTSYSAPINTSTATUSNTAPIZwQuerySystemInformation ( ...
VC++实现枚举进程与模块
weixin_30547797的博客
10-24 221
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
ddk-china.rar_ddk_ddk 中文_ddk 驱动_ddk-china_visual c
09-22
ddk中文文档,ddk是windows下的驱动开发包
009DDK-HelloWorld驱动.7z
09-19
DDK-HelloWorld驱动项目就是为了让初学者理解驱动开发的基本流程和关键概念。在这个项目中,你会学习到如何使用DDK提供的编译器、链接器和其他工具来创建、编译和调试驱动程序。 首先,你需要安装相应的DDK,它包含...
de4dot-Reactor5.0 By ddk313.rar
05-10
本版本是根据最新更新的de4do4源码生成的,亲测可脱更多的Net Reactor5.0 的壳。 不一定保证一定能成功,但是测试了两个 .NET Reactor(4.8-4.9)[-]的壳,都成功了
winddk.rar_DDK xp_ddk_winddk_winddk-_xp ddk
09-14
在Windows XP时代,驱动程序开发是系统稳定性和性能的关键因素,因此,DDK提供了全面的API、头文件、库和文档,以便开发者能够创建与操作系统无缝集成的驱动程序。 "winddk"是Windows DDK的简称,它包含了一系列...
_RTL_PROCESS_MODULE_INFORMATION
denggengwen3333的博客
08-02 396
typedef struct _RTL_PROCESS_MODULE_INFORMATION { HANDLE Section; // Not filled in PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT ...
win7文件扩展名关联打开方式时崩溃(RtlQueryInformationAcl+0x9)的调试
u010607621的博客
07-13 1551
故障现象 win7x64,装了蓝山办公,再卸载之,就出现了文件扩展名关联打开方式时会崩溃。 dmp分析 捕获进程崩溃dmp,可知崩溃的进程为rundll32.exe,崩溃时的栈如下: 00000000`000eec00 000007fe`fce9b35a : 00000000`000706e4 00000000`00310ea8 00000000`00000111 00000000`00000000 : ntdll!RtlQueryInformationAcl+0x9 00000000`000eec30
文档化方法列举系统模块
10-14 824
 关于Enum Module的方法 ,我想最常用的就是ZwQuerySystemInformation函数。我们知道这个函数是一个undocumented function。未文档化的函数有一个地方让人不放心,就是微软可能在某个时候改变他。这里我想介绍一个文档化的方法来列举系统模块。实际上,这并不是一个新技术了,但是好像很多朋友还是在用未文档的ZwQuerySystemInformation列
Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)
时空之中的灵魂
10-14 364
附另两种方法链接 Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 1.主要区别
进程强杀
zhuhuibeishadiao
04-04 2769
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread未导出函数 暴力搜索 特征值 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
error LNK2019: 无法解析的外部符号 __except_handler4_common
大坡3D软件开发
10-31 7583
4>MSVCRTD.lib(chandler4gs.obj) : error LNK2019: 无法解析的外部符号 __except_handler4_common,该符号在函数 __except_handler4 中被引用 最近在编译一个开源的工程时,发现出这个提示,导致执行文件不能生成。后来仔细地查看一下原因,原是由于有一些库是使用MD的代码生成,而另外全部是使用Mtd的代码生成,这样...
Time(口白)-MKJ
pureman_mega的博客
05-08 5592
Money is not evil by itself It's just paper with perceived value to obtain other things we value in other ways If not money what is evil you may ask Evil is the unquenchable obsessive and mor
note : IRP hook on R0
谢绝留言与私信
09-14 1734
IRP hook 以FSD Hook 为例, Hook和UnHook的操作, 在DeviceIoControl中响应. Hook 处理 /// @file Fsd.h /// @brief FSD(\\FileSystem\\Ntfs) 处理 #ifndef __FSD_H__ #define __FSD_H__ #include #include "
experiment : use Aux Library on R0
谢绝留言与私信
08-28 1043
Aux Libray 是MS提供的内核库, 可以用来查询模块信息,  比如内核模块基址和模块Size. 可以完成和未文档化API ZwQuerySystemInformation 相同的功能. 因为是文档化的API接口,  所以比 ZwQuerySystemInformation 靠谱. 参考资料: * pediy上kssd上有一篇用Aux Libray 查询模块信息的文章
el-dropdown-menu 滚动条
最新发布
09-01
- *2* *3* [Element-UI 给el-dropdown添加滚动条](https://blog.csdn.net/ddk54321/article/details/89083335)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值