获取内核地址大小路径

最新推荐文章于 2021-04-30 17:49:25 发布
最新推荐文章于 2021-04-30 17:49:25 发布
阅读量297 收藏
点赞数
分类专栏: 自己写的函数全部集合 
#include"ntifs.h"
#include"intsafe.h"
#include"ntimage.h"
#define out
#define in
#define SystemModuleInformation 11
ULONG_PTR jizhi_neihe = 0;
ULONG_PTR daxiao_neihe = 0;
WCHAR *pwz_kernel_path = NULL;
NTSTATUS __stdcall ZwQuerySystemInformation(ULONG_PTR SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength);
typedef NTSTATUS
(*NTCREATEFILE) (
__out PHANDLE FileHandle,
__in ACCESS_MASK DesiredAccess,
__in POBJECT_ATTRIBUTES ObjectAttributes,
__out PIO_STATUS_BLOCK IoStatusBlock,
__in_opt PLARGE_INTEGER AllocationSize,
__in ULONG FileAttributes,
__in ULONG ShareAccess,
__in ULONG CreateDisposition,
__in ULONG CreateOptions,
__in_bcount_opt(EaLength) PVOID EaBuffer,
__in ULONG EaLength
);
typedef struct _SYSTEM_MODULE_INFORMATION  // 系统模块信息
{
	ULONG  Reserved[2];
	ULONG  Base;
	ULONG  Size;
	ULONG  Flags;
	USHORT Index;
	USHORT Unknown;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	CHAR   ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _tagSysModuleList //模块链结构
{
	ULONG ulCount;
	SYSTEM_MODULE_INFORMATION smi[1];
} MODULES, *PMODULES;
typedef NTSTATUS(__stdcall *NTOPENPROCESS)(
	PHANDLE ProcessHandle,
	ACCESS_MASK DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID ClientId
	);
NTOPENPROCESS ReloadNtOpenProcess;
BOOLEAN GetSystemKernelModuleInfo(WCHAR **SystemKernelModulePath, PULONG_PTR SystemKernelModuleBase, PULONG_PTR SystemKernelModuleSize)
{

	NTSTATUS status;
	ULONG ulSize;
	int i;
	PMODULES pModuleList;
	char *lpszKernelName = NULL;
	ANSI_STRING AnsiKernelModule;
	UNICODE_STRING UnicodeKernelModule;
	BOOLEAN bRet = TRUE;

	__try
	{
		status = ZwQuerySystemInformation(
			SystemModuleInformation,
			NULL,
			0,
			&ulSize
			);
		if (status != STATUS_INFO_LENGTH_MISMATCH)
		{
			return 0;
		}
		pModuleList = (PMODULES)ExAllocatePool(NonPagedPool, ulSize);
		if (pModuleList)
		{
			status = ZwQuerySystemInformation(
				SystemModuleInformation,
				pModuleList,
				ulSize,
				&ulSize
				);
			if (!NT_SUCCESS(status))
			{
				KdPrint(("ZwQuerySystemInformation error:%x %d\r\n", status, RtlNtStatusToDosError(status)));
				bRet = FALSE;
			}
		}
		if (!bRet)
		{
			if (pModuleList)
				ExFreePool(pModuleList);
			return 0;
		}
		*SystemKernelModulePath = ExAllocatePool(NonPagedPool, 260 * 2);
		if (*SystemKernelModulePath == NULL)
		{
			*SystemKernelModuleBase = 0;
			*SystemKernelModuleSize = 0;
			return 0;
		}

		lpszKernelName = pModuleList->smi[0].ModuleNameOffset + pModuleList->smi[0].ImageName;
		RtlInitAnsiString(&AnsiKernelModule, lpszKernelName);
		RtlAnsiStringToUnicodeString(&UnicodeKernelModule, &AnsiKernelModule, TRUE);

		RtlZeroMemory(*SystemKernelModulePath, 260 * 2);
		wcscat(*SystemKernelModulePath, L"\\SystemRoot\\system32\\");

		memcpy(
			*SystemKernelModulePath + wcslen(L"\\SystemRoot\\system32\\"),
			UnicodeKernelModule.Buffer,
			UnicodeKernelModule.Length
			);

		*SystemKernelModuleBase = (ULONG_PTR)pModuleList->smi[0].Base;
		*SystemKernelModuleSize = (ULONG_PTR)pModuleList->smi[0].Size;
		ExFreePool(pModuleList);
		RtlFreeUnicodeString(&UnicodeKernelModule);

	}
	__except (EXCEPTION_EXECUTE_HANDLER){

	}
	return TRUE;
}
KdPrint(("驱动开始\n"));
	GetSystemKernelModuleInfo(&pwz_kernel_path, &jizhi_neihe, &daxiao_neihe);
	KdPrint(("路径%S 基址%x 大小%x  %d \n", pwz_kernel_path, jizhi_neihe, daxiao_neihe, daxiao_neihe));

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zwqueryinformationfile获取路径例子
08-08
例子一:要访问已打开的文件,我们也可以使用这种方法。我们需要使用ZwQuerySystemInformation函数来枚举句柄,将每一个句柄都用DuplicateHandle进行复制,确定句柄属于那个文件(ZwQueryInformationFile),如果是要找的文件,就将句柄拷贝。 这些在理论上都讲得通,但在实践中会遇到两处难点。第一,在对打开的named pipe(工作于block mode)的句柄调用ZwQueryInformationFile的时候,调用线程会等待pipe中的消息,而pipe中却可能没有消息,也就是说,调用ZwQueryInformationFile的线程实际上永久性地挂起了。所以命名文件的获取不用在挑选句柄的主线程中进行,可以启动独立的线程并设置一个timeout值来避免挂起。
获取Powershell命令行参数
墨鱼菜鸡
09-09 814
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include &...
通过WINNT.H定义的结构体,获取进程IAT表
enjoy5512的博客
06-02 1118
利用已定义的PE文件结构体获取本进程的IAT表
WINNT.H内的_IMAGE_IMPORT_BY_NAME 变长数组示例
MessCodes
02-16 2874
研究WINNT.H里面的导入名表结构体_IMAGE_IMPORT_BY_NAME 时,发现一个问题,结构体成员Name数组竟然是1,但是实际上反汇编看到是一个不同长度的字符串。怎么实现的呢?很多人在网上提到如下说法,但没有深入分析为什么。这里就给出一个参考例子。说明怎么搭建那个名字表的。当然这个名字表都是由 typedef struct _IMAGE_THUNK_DATA32 {
APC注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-30 605
/*********************************** desc : This code was written for inject a dll named text.dll to the target process based on APC. time : 2013 coder: ejoywx **********************
WDK7的ntimage.h 用于写PE32+
zhuhuibeishadiao
05-02 3529
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. Module Name: ntimage.h Abstract: This is the includ
Windows内核地址跑r3代码实现
被遗弃的庸才博客
04-30 920
背景 最近在看雪上看到了一篇修改页属性的博客https://bbs.pediy.com/thread-266781.htm,之前的同事也提到过有人在r0跑dll,于是趁着这个机会把原作者的代码改了下,将申请的内核地址改成user可读,如下所示,这里有几点需要注意的 1、在win10 1903 中测试失败,蓝屏0x1a,会对pxe做检查 2、内核的pte基址是写死的 3、不支持大页 #include <Ntifs.h> #include <ntimage.h> #inclu
PE格式详细讲解2 - 系统篇02|解密系列
weixin_34221773的博客
04-06 149
PE格式详细讲解2-系统篇02 让编程改变世界 Change the world by program PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~ 首先是IMAGE_NT_HEADERS 结构的定义:(啥?结构不会,先看看小甲鱼童鞋的《零基础入门学习C语言...
Win64 驱动内核编程-31.枚举与删除映像回调
天使也掉毛
04-04 2033
枚举与删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在PsSetLoadImag...
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5342
PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
Windows内核安全驱动开发(随书光盘)
08-02
14.3.3 获取生成的IP地址和端口 327 14.3.4 连接终端的生成与相关信息的保存 329 14.4 控制请求 330 14.4.1 TDI_ASSOCIATE_ADDRESS的过滤 330 14.4.2 TDI_CONNECT的过滤 332 14.4.3 其他的次功能号 333 14.4.4...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
10.3.3 获取生成的IP地址和端口 308 10.3.4 连接终端的生成与相关信息的保存 310 10.4 控制请求 311 10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311 10.4.2 TDI_CONNECT的过滤 313 10.4.3 其他的次功能号 314 10.4.4 设置...
寒江独钓-Windows内核安全编程(高清完整版).part3
01-04
10.3.3 获取生成的IP地址和端口 308 10.3.4 连接终端的生成与相关信息的保存 310 10.4 控制请求 311 10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311 10.4.2 TDI_CONNECT的过滤 313 10.4.3 其他的次功能号 314 10.4.4 设置...
寒江独钓-Windows内核安全编程(高清完整版).part4
01-04
10.3.3 获取生成的IP地址和端口 308 10.3.4 连接终端的生成与相关信息的保存 310 10.4 控制请求 311 10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311 10.4.2 TDI_CONNECT的过滤 313 10.4.3 其他的次功能号 314 10.4.4 设置...
寒江独钓-Windows内核安全编程(高清完整版).part7
01-04
10.3.3 获取生成的IP地址和端口 308 10.3.4 连接终端的生成与相关信息的保存 310 10.4 控制请求 311 10.4.1 TDI_ASSOCIATE_ADDRESS的过滤 311 10.4.2 TDI_CONNECT的过滤 313 10.4.3 其他的次功能号 314 10.4.4 设置...
内核重载
坦然
09-12 2884
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
2.windbg-PE完整分析
hgy413的专栏
04-03 2825
1.PE结构常用的结构体 0:001> dt ntdll!*IMAGE* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_IMA
过游戏保护驱动
把梦想放飞在蓝色的天空里...
11-20 4624
整理自CrazyWolf的博客 学习下过游戏驱动保护的方法。 篇一: ////////////////////////////////////////////////////////////////////////// //define #define SsdtTbaleSize 0x11C //////////////////////////////////////////////////
vmware for mac 无法获取内核符号
冯建华的专栏
10-19 6102
这个问题6,7月份就在了。英文叫 Unable to retrieve kernel symbols,  是因为Yosemite的内核文件移了位置。 现在的位置是 /System/Library/Kernels/kernel。你执行下 sudo cp /System/Library/Kernels/kernel /mach_kernel。重启下电脑。...
android12 内核配置文件 编译
最新发布
09-21
通常,内核配置文件存储在路径"/kernel/configs"下。 4. 打开内核配置文件(通常命名为".config")并根据您的需求进行编辑。内核配置文件包含了一系列选项和参数,您可以根据硬件平台、功能需求和性能优化等因素...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值