结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: 内核驱动全部集合

@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600)

lkd> dt -b _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr32 
      +0x004 Blink            : Ptr32 
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr32 
      +0x004 Blink            : Ptr32 
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr32 
      +0x004 Blink            : Ptr32 
   +0x018 DllBase          : Ptr32 
   +0x01c EntryPoint       : Ptr32 
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
      +0x000 Length           : Uint2B
      +0x002 MaximumLength    : Uint2B
      +0x004 Buffer           : Ptr32 
   +0x02c BaseDllName      : _UNICODE_STRING
      +0x000 Length           : Uint2B
      +0x002 MaximumLength    : Uint2B
      +0x004 Buffer           : Ptr32 
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
      +0x000 Flink            : Ptr32 
      +0x004 Blink            : Ptr32 
   +0x03c SectionPointer   : Ptr32 
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 
   +0x048 EntryPointActivationContext : Ptr32 
   +0x04c PatchInformation : Ptr32

 

@Windows 7 Ultimate (x64) (6.1, Build 7600)

lkd> dt -b _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x010 InMemoryOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x020 InInitializationOrderLinks : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x030 DllBase          : Ptr64 
   +0x038 EntryPoint       : Ptr64 
   +0x040 SizeOfImage      : Uint4B
   +0x048 FullDllName      : _UNICODE_STRING
      +0x000 Length           : Uint2B
      +0x002 MaximumLength    : Uint2B
      +0x008 Buffer           : Ptr64 
   +0x058 BaseDllName      : _UNICODE_STRING
      +0x000 Length           : Uint2B
      +0x002 MaximumLength    : Uint2B
      +0x008 Buffer           : Ptr64 
   +0x068 Flags            : Uint4B
   +0x06c LoadCount        : Uint2B
   +0x06e TlsIndex         : Uint2B
   +0x070 HashLinks        : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x070 SectionPointer   : Ptr64 
   +0x078 CheckSum         : Uint4B
   +0x080 TimeDateStamp    : Uint4B
   +0x080 LoadedImports    : Ptr64 
   +0x088 EntryPointActivationContext : Ptr64 
   +0x090 PatchInformation : Ptr64 
   +0x098 ForwarderLinks   : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x0a8 ServiceTagLinks  : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x0b8 StaticLinks      : _LIST_ENTRY
      +0x000 Flink            : Ptr64 
      +0x008 Blink            : Ptr64 
   +0x0c8 ContextInformation : Ptr64 
   +0x0d0 OriginalBase     : Uint8B
   +0x0d8 LoadTime         : _LARGE_INTEGER
      +0x000 LowPart          : Uint4B
      +0x004 HighPart         : Int4B
      +0x000 u                : <unnamed-tag>
         +0x000 LowPart          : Uint4B
         +0x004 HighPart         : Int4B
      +0x000 QuadPart         : Int8B

 

C++ Code

 

typedef struct _LDR_DATA_TABLE_ENTRY {
    // Start from Windows XP
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;    
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        ULONG TimeDateStamp;
        PVOID LoadedImports;
    };
    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *
    PVOID PatchInformation;

    // Start from Windows Vista
    LIST_ENTRY ForwarderLinks;
    LIST_ENTRY ServiceTagLinks;
    LIST_ENTRY StaticLinks;
    PVOID ContextInformation;
    PVOID OriginalBase;
    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

「已注销」
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程强杀探究
hongduilanjun的博客
03-07 2019
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 897
_LDR_DATA_TABLE_ENTRY结构体
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1520
    #include "stdafx.h" #include &lt;stdlib.h&gt; #include &lt;Windows.h&gt; #include &lt;Ntsecapi.h&gt;    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3061
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1797
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 1440
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
PIC-struct.rar_pic struct_pic的struct_单片机结构体
09-21
在单片机编程,尤其是使用C语言进行开发时,结构体Struct)是一种非常重要的数据类型。结构体允许我们将不同类型的数据组合成一个单一的实体,便于管理和操作。本资料"PIC-struct.rar"主要针对PIC单片机,详细...
xml_ivs_public.zip_xml c++ 结构体_xml 结构体_xml 结构体 c++_结构体 xml_配置文件
09-14
C++编程,将XML数据转换为结构体可以使程序更容易处理和理解这些数据。本文将深入探讨XML与C++结构体之间的交互,以及如何实现XML配置文件的解析。 首先,XML文件是一种自描述的数据格式,通过标签来表示数据的...
UDP_test.rar_C++ UDP 结构体_testudp使用_udp 结构体
09-14
UDP的程序,自己设计的超时应答机制,帧数据结构采用共用体,丰富了UDP的功能,可以方便移植。
struct_queue.zip_C++ queue<struct>_queue<struct_queue的c++实现
09-23
在给定的"struct_queue.zip"压缩包,我们看到一个C++实现的`queue`,其内部元素是结构体(struct)。虽然这个实现可能提供了某些标准库版本不具备的功能,但需要注意,这种自定义实现可能并不总是优于标准库提供的`...
WJL_F.zip_协议解析 c++_报文解析_结构体报文_网络协议解析
07-14
网络协议解析,是一个报文解析为结构体的过程
Windows内核模块名称遍历
qq726232111的博客
12-15 839
0x00 原理 内核模块信息以_LDR_DATA_TABLE_ENTRY结构形式存在于系统, 该结构以双向链表将所有的模块信息关联起来。 0x01 实现 1.1 基于WinDbg获取_LDR_DATA_TABLE_ENTRY结构 在WinDbg调试过程输入 dt _LDR_DATA_TABLE_ENTRY 来获取_LDR_DATA_TABLE_ENTRY结构结构信息 以下是我在调试Win10时获取的信息: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_D..
游戏里的攻防-检测与反检测
记录生命的轨迹
08-12 1626
游戏爱好者
x64驱动 遍历驱动模块
LYSM
07-02 2149
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1059
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
DriverObject->DriverSection结构体LDR_DATA_TABLE_ENTRY结构
kfysck
11-11 5686
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
baidu_36226689的博客
04-17 2442
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    S
为何遍历Ldr会得到空项?
diaoyao1979的博客
06-14 210
转自:http://www.0xaa55.com/thread-1385-1-1.html 之前做过ldr遍历的操作,发现第一项竟然是空,也就是大部分元素都是0,下面来揭示一下原理:经过研究,其实Ldr链表得第一项为头结点,为PEB_LDR_DATA结构,而其他所有项均为LDR_DATA_TABLE_ENTRY结构Ldr的创建:ldrinit.c -> LdrpInitializ...
遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3383
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存 我们关系第一个 我们要遍历链表 双链表 不管间哪个节点都可以遍历整个链表 本驱动的驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值