遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用

最新推荐文章于 2023-07-09 14:01:29 发布
最新推荐文章于 2023-07-09 14:01:29 发布
阅读量3.4k 收藏 3
点赞数 1
分类专栏: 内核驱动全部集合 
#include"ntddk.h"
typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个  我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动的驱动对象就是一个节点
	LIST_ENTRY InMemoryOrderLinks;//系统已经启动 没有被初始化 没有调用DriverEntry这个历程的时候 通过这个链表进程串接起来
	LIST_ENTRY InInitializationOrderLinks;//已经调用DriverEntry这个函数的所有驱动程序
	PVOID DllBase;
	PVOID EntryPoint;//驱动的进入点 DriverEntry
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;//驱动的满路径
	UNICODE_STRING BaseDllName;//不带路径的驱动名字
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY HashLinks;
		struct {
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union {
		struct {
			ULONG TimeDateStamp;
		};
		struct {
			PVOID LoadedImports;
		};
	};
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;//系统所有程序 驱动对象里都有这个结构 是驱动对象的成员qudongduixiang1->DriverSection(PVOID DriverSection) 这个结构体在什么时候有的 io管理器在加载我们驱动的时候 调用DriverEntry这个历程的时候 把我们驱动对象也加入到系统的一个全局链表中 
//就是为了方便io管理器进行维护或者方便对象管理器进行维护 为了查找方便 这个全局链表呢 把系统所有驱动程序串起来就是连接起来

VOID xiezai1(PDRIVER_OBJECT qudongduixiang1)
{
	KdPrint(("驱动卸载历程\n"));
}
NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang1, PUNICODE_STRING zhucebiao1)//遍历驱动名字
{
	LDR_DATA_TABLE_ENTRY*jiegouti1, *linshi1;
	jiegouti1 = (LDR_DATA_TABLE_ENTRY*)qudongduixiang1->DriverSection;
	PLIST_ENTRY shuangxiangxunhuanlianbiao;
	shuangxiangxunhuanlianbiao = jiegouti1->InLoadOrderLinks.Flink;	//PLIST_ENTRY 双循环链表 循环起来的 首尾是相接的 //Flink 代表前一个节点
	while (shuangxiangxunhuanlianbiao != &jiegouti1->InLoadOrderLinks)
	{
		linshi1 = (LDR_DATA_TABLE_ENTRY*)shuangxiangxunhuanlianbiao;//双向循环链表存放的结构体就是LDR_DATA_TABLE_ENTRY* 这个内核链表的特性
		KdPrint(("驱动名%wZ\n", &linshi1->FullDllName));//注意加取地址
		shuangxiangxunhuanlianbiao=shuangxiangxunhuanlianbiao->Flink;
	}
	qudongduixiang1->DriverUnload = xiezai1;
	return STATUS_SUCCESS;
}

 

「已注销」
关注
专栏目录
遍历内核驱动模块
HXC_HUANG的博客
03-05 5347
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象DRIVER_OBJECT),下面是驱动对象的数据结构:
x64驱动 遍历驱动模块
墨鱼菜鸡
07-02 180
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!...
遍历windows驱动遍历对象目录的对象
03-05 2012
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书:wind...
DriverObject->DriverSection结构体LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5704
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
驱动遍历驱动
Misaka10046的博客
04-08 197
X86 win7 平台。
遍历系统中加载的驱动程序以及通过设备对象指针获取设备对象
Masimaro的专栏
03-01 2424
遍历系统中加载的驱动以及通过设备对象指针获取设备对象
《Windows NT FileSystem Internals》学习笔记之DRIVER_OBJECT对象结构
不论你在什么时候开始,重要的是开始之后就不要停止。
11-01 1186
驱动编程这么长时间了,还没有 彻底理解这个玩意,呵呵惭愧。看了《Windows NT FileSystem Internals》把每一个细节搞清楚了,这里记下来,防止以后忘掉(以后还不知道能不能开发驱动呢)typedef struct _DRIVER_OBJECT{        CSHORT      Type;        CSHORT      Size;     
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
最新发布
a756598009的博客
07-09 566
遍历成功拿到了线程回调对象
进程强杀探究
hongduilanjun的博客
03-07 2075
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
移除时钟KTIMER和DPC
ming_taizi的博客
04-24 1203
在win7 32位和64位下 通过枚举系统所有KTIMER时钟,寻找自己想要移除的时钟,达到移除目标驱动的KTIMER和DPC的目的。
驱动开发:探索DRIVER_OBJECT驱动对象
CSDN
04-03 7067
本章将探索驱动程序开发的基础部分,了解驱动对象`DRIVER_OBJECT`结构体的定义,一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象,该对象内所包含的就是当前所加载驱动自身的一些详细参数,例如驱动大小,驱动标志,驱动驱动节等等,每一个驱动程序都会存在这样的一个结构。
遍历驱动
cshcmqcsh的专栏
05-30 698
_driver_object成员DriverSection指向_ldr_data_table_entry,_ldr_data_table_entry储存了某一驱动的基址、文件等信息。_ldr_data_table_entry 成员 InLoadOrderLinks 为一 _list_entry结构,储存了前、后_ldr_data_table_entry的地址,_ldr_data_table_entry通过此成员形成一双向链表。而系统所有已装入驱动都在这链表中有一结点。故遍历之,即可达到目的。
C++ 遍历驱动列表(应用层下)
LYSM
07-23 1001
上代码咯 ~ #include "stdafx.h" #include <stdio.h&gt; #include <windows.h&gt; #include <Psapi.h&gt; #include <shlwapi.h&gt; //PathFileExists #pragma comment(lib, "psapi.lib") #pragma comme...
驱动-遍历驱动、隐藏驱动
chengtoreal的博客
03-05 708
//自定义消息 #define Ergodicdrivelist CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) #define Hidedriver CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_IN_DIRECT, FILE_ANY_ACCESS ) // 遍历驱动 void Ergodicdrivelistfun(PIRP Irp) { PIO_STACK_
驱动遍历和隐藏
Mikasys的博客
10-20 303
DRIVER_OBJECT 0: kd&gt; dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x008 DeviceObject : Ptr64 _DEVICE_OBJECT +0x010 Flags : Uint4B +0x018 DriverStart : Ptr64 Void
驱动遍历进程的方法
qq_41071646的博客
10-27 1432
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
遍历驱动类型
09-30 366
#include"ntifs.h" typedef VOID(__stdcall FUNCT_00A4_0EDA_DumpProcedure) (VOID*, struct _OBJECT_DUMP_CONTROL*); typedef LONG32(__stdcall FUNCT_000F_0EE2_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, st...
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1885
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径&gt;&gt;。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
KMDF驱动如何获取底层硬盘驱动对象,并向其发送IRP_MJ_READ请求?请给出示例
06-08
要获取底层硬盘驱动对象并向其发送IRP_MJ_READ请求,可以使用下面的示例代码: ``` #include <ntddk.h&gt; NTSTATUS ReadSector(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Context) { // 获取IRP的输入输出缓冲区 PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(Irp); PVOID inputBuffer = Irp-&gt;AssociatedIrp.SystemBuffer; PVOID outputBuffer = Irp-&gt;UserBuffer; // 分配一个MDL描述符并锁定输入缓冲区 PMDL mdl = IoAllocateMdl(inputBuffer, irpStack-&gt;Parameters.Read.Length, FALSE, FALSE, NULL); MmBuildMdlForNonPagedPool(mdl); MmProbeAndLockPages(mdl, KernelMode, IoReadAccess); // 构造IRP并发送给底层驱动 PIRP readIrp = IoBuildSynchronousFsdRequest(IRP_MJ_READ, DeviceObject, outputBuffer, irpStack-&gt;Parameters.Read.Length, &irpStack-&gt;Parameters.Read.StartingOffset, NULL, NULL); NTSTATUS status = IoCallDriver(DeviceObject, readIrp); // 解锁并释放MDL MmUnlockPages(mdl); IoFreeMdl(mdl); return status; } NTSTATUS DispatchReadWrite(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) { // 获取IRP的输入输出缓冲区 PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(Irp); PVOID inputBuffer = Irp-&gt;AssociatedIrp.SystemBuffer; PVOID outputBuffer = Irp-&gt;UserBuffer; // 如果是读请求,则调用ReadSector函数发送IRP_MJ_READ请求 if (irpStack-&gt;MajorFunction == IRP_MJ_READ) { return ReadSector(DeviceObject, Irp, NULL); } // 如果是写请求,则直接返回成功 if (irpStack-&gt;MajorFunction == IRP_MJ_WRITE) { Irp-&gt;IoStatus.Status = STATUS_SUCCESS; Irp-&gt;IoStatus.Information = irpStack-&gt;Parameters.Write.Length; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_SUCCESS; } // 其他请求则返回未实现 Irp-&gt;IoStatus.Status = STATUS_NOT_IMPLEMENTED; Irp-&gt;IoStatus.Information = 0; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_NOT_IMPLEMENTED; } NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { // 创建设备对象 PDEVICE_OBJECT deviceObject; UNICODE_STRING deviceName = RTL_CONSTANT_STRING(L"\\Device\\MyDisk"); UNICODE_STRING symbolicLinkName = RTL_CONSTANT_STRING(L"\\DosDevices\\MyDisk"); NTSTATUS status = IoCreateDevice(DriverObject, 0, &deviceName, FILE_DEVICE_DISK, 0, FALSE, &deviceObject); if (!NT_SUCCESS(status)) { return status; } // 创建符号链接 status = IoCreateSymbolicLink(&symbolicLinkName, &deviceName); if (!NT_SUCCESS(status)) { IoDeleteDevice(deviceObject); return status; } // 设置IRP处理函数 for (ULONG i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++) { DriverObject-&gt;MajorFunction[i] = DispatchReadWrite; } // 获取底层硬盘驱动对象 WCHAR diskName[] = L"\\Device\\Harddisk0\\Partition1"; UNICODE_STRING diskNameUnicode = RTL_CONSTANT_STRING(diskName); PDEVICE_OBJECT diskObject = IoGetDeviceObjectByDeviceName(&diskNameUnicode); // 发送IRP_MJ_READ请求 PVOID buffer = ExAllocatePoolWithTag(NonPagedPool, 512, 'MyD'); if (buffer != NULL) { LARGE_INTEGER offset = { 0 }; PIRP readIrp = IoBuildSynchronousFsdRequest(IRP_MJ_READ, diskObject, buffer, 512, &offset, NULL, NULL); if (readIrp != NULL) { status = IoCallDriver(diskObject, readIrp); if (NT_SUCCESS(status)) { DbgPrint("Read sector successfully!\n"); } else { DbgPrint("Read sector failed with status 0x%X\n", status); } } else { DbgPrint("Failed to build IRP\n"); } ExFreePoolWithTag(buffer, 'MyD'); } else { DbgPrint("Failed to allocate buffer\n"); } return STATUS_SUCCESS; } ``` 在这个示例中,我们首先创建了一个设备对象并设置了IRP处理函数为DispatchReadWrite。这个函数会根据IRP的MajorFunction字段来判断是否是读请求或写请求,如果是读请求则调用ReadSector函数发送IRP_MJ_READ请求,如果是写请求则直接返回成功。如果是其他请求则返回未实现。 在DriverEntry函数中,我们获取了底层硬盘驱动对象,并发送了一个IRP_MJ_READ请求来读取磁盘扇区。注意,这里的硬盘驱动对象是通过设备获取的,因此需要知道硬盘的设备才能获取到正确的对象
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值