【原创】X64 枚举 内核 符号~~~~

最新推荐文章于 2021-10-28 11:00:06 发布
最新推荐文章于 2021-10-28 11:00:06 发布
阅读量2.7k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/48210075
版权
typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)
(
IN ULONG SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG Length,
OUT PULONG ReturnLength
);


typedef unsigned long DWORD;


typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
    ULONG Unknow1;
    ULONG Unknow2;
    ULONG Unknow3;
ULONG Unknow4;
    PVOID Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT NameLength;
    USHORT LoadCount;
    USHORT ModuleNameOffset;
    char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;


typedef struct _SYSTEM_MODULE_INFORMATION
{
    ULONG Count;//内核中以加载的模块的个数
    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
X64 枚举 内核 模块 需要的 结构体 






ULONG64 EnumKM(char *HighlightDrvName) 枚举 内核模块 返回 基地址 
{
    ULONG NeedSize, i, ModuleCount, HLed=0, BufferSize = 0x5000;
    PVOID pBuffer = NULL;
PCHAR pDrvName = NULL;
    NTSTATUS Result;
ULONG64 address;
    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;
    do
    {
        //分配内存
        pBuffer = malloc( BufferSize );
        if( pBuffer == NULL )
            return 0;
        //查询模块信息
        Result = ZwQuerySystemInformation( 11, pBuffer, BufferSize, &NeedSize );
        if( Result == 0xC0000004L )
        {
            free( pBuffer );
            BufferSize *= 2;
        }
        else if( Result<0 )
        {
            //查询失败则退出
            free( pBuffer );
            return 0;
        }
    }
    while( Result == 0xC0000004L );
    pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;
//获得模块的总数量
    ModuleCount = pSystemModuleInformation->Count;
//遍历所有的模块
    for( i = 0; i < ModuleCount; i++ )
{
if((ULONG64)(pSystemModuleInformation->Module[i].Base) > (ULONG64)0x8000000000000000)
{
pDrvName = pSystemModuleInformation->Module[i].ImageName+pSystemModuleInformation->Module[i].ModuleNameOffset;

if( _stricmp(pDrvName,HighlightDrvName)==0 )
{
address = (ULONG64)pSystemModuleInformation->Module[i].Base;

HLed=1;
break;
}

}
}
if (HLed == 0)
return 0;
free(pBuffer);
return address;
}
BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext)回调 函数 
{
if (strcmp((pSymInfo->Name), "PspCreateProcessNotifyRoutine") == 0)
{
printf("Oh,yeah! %s :%p\n", pSymInfo->Name, pSymInfo->Address);
}
if (strcmp((pSymInfo->Name), "PspLoadImageNotifyRoutine") == 0)
{
printf("Oh,yeah! %s :%p\n", pSymInfo->Name, pSymInfo->Address);
}
if (strcmp((pSymInfo->Name), "PspCreateThreadNotifyRoutine") == 0)
{
printf("Oh,yeah! %s :%p\n", pSymInfo->Name, pSymInfo->Address);
}
if (strcmp((pSymInfo->Name), "PspCidTable") == 0)
{
printf("Oh,yeah! %s :%p\n", pSymInfo->Name, pSymInfo->Address);
}
if (strcmp((pSymInfo->Name), "ExDestroyHandle") == 0)
{
printf("Oh,yeah! %s :%p\n", pSymInfo->Name, pSymInfo->Address);
}


return TRUE;
}


void getallkrnladdress(ULONG64 ntkrnlmpBaseaddress){ 加载 符号链接 并枚举 




HANDLE hProcess;
DWORD64 BaseOfDll;
PIMAGEHLP_SYMBOL pSymbol = NULL;


DWORD Options = SymGetOptions();


Options = Options | SYMOPT_DEBUG;
SymSetOptions(Options);


hProcess = GetCurrentProcess();
BOOL bRet = SymInitialize(hProcess, 0, FALSE);
if (!bRet)
{
printf("SymInitialize error ...\n");
}
char SymbolPath[256];
GetCurrentDirectoryA(sizeof(SymbolPath), SymbolPath);
strcat(SymbolPath, "\\symbols");
SymSetSearchPath(hProcess, SymbolPath);


char FileName[256];
GetSystemDirectoryA(FileName, sizeof(FileName));
strcat(FileName, "\\ntkrnlmp.exe");
HANDLE hFile = CreateFileA(FileName, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);
DWORD dwfilesize = GetFileSize(hFile, NULL);


BaseOfDll = SymLoadModule64(hProcess, NULL, FileName, NULL, ntkrnlmpBaseaddress, dwfilesize);
if (BaseOfDll == 0)
{
DWORD nErr = GetLastError();
}
SymEnumSymbols(hProcess, BaseOfDll, 0, EnumSymCallBack, 0);
SymUnloadModule64(hProcess, BaseOfDll);
SymCleanup(hProcess);
for (;;);


}
int main()   用法 
{
ULONG64 ntkrnlmpBaseaddress;
ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibraryW(L"ntdll.dll"),"ZwQuerySystemInformation");
ntkrnlmpBaseaddress=EnumKM("ntkrnlmp.exe");//获得 NT内核模块基地址 

getallkrnladdress(ntkrnlmpBaseaddress);



getchar();
return 0;
}
完整  SRC :http://pan.baidu.com/s/1sjuZg2D
网上代码 抄抄改改 就好了  ,听说老大 都不用硬编码了   所以  ~~~~
qq_18942885
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
符号链接枚举
dhbzzz的专栏
04-21 3357
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzz, All Rights Reserved//// FileName: EnumSymbolink.cpp//// Author: zhen
驱动开发:判断自身是否加载成功
热门推荐
CSDN
10-08 1万+
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。这是一个微软未公开的函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。该结构同样是一个未文档化的结构体,本此代码中需要用到的枚举类型是。是核心函数,我们看下该函数具体是如何实现的,原理很简单。其他类型也放这里后期做参考用。该功能实现的核心函数是。
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6341
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
获得进程的EPROCESS
Kendiv's Box
01-31 5508
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
SYSTEM_HANDLE_TABLE_ENTRY_INFO
weixin_30500473的博客
06-11 540
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object...
易语言枚举内核驱动
08-21
易语言枚举内核驱动源码系统结构:驱动操作_枚举内核驱动,进制转换_Unicode转Ansi,lblexit,InitializeObjectAttributes,进制转换_Ansi转Unicode,内存读写_读字节集内存,lms520_ZwOpenDirectoryObject,lms520_Loc
易语言源码易语言枚举内核驱动源码.rar
03-31
易语言源码易语言枚举内核驱动源码.rar
易语言源码易语言枚举内核对象句柄源码.rar
03-31
易语言源码易语言枚举内核对象句柄源码.rar
易语言枚举内核驱动源码.zip
01-25
易语言枚举内核驱动源码
(转) SYSTEM_HANDLE_INFORMATION中ObjectTypeIndex的定义
小驹的专栏
11-03 4849
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{ USHORT UniqueProcessId; USHORT CreatorBackTraceIndex; UCHAR ObjectTypeIndex; UCHAR HandleAttributes; USHORT HandleValue; PVOID Object; ULONG Gran
PspCidTable进程枚举
rongwenbin的专栏
02-25 1442
-------------------------------------这是分割线--------------------------------------- Windows句柄表格式 句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 310
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
SYSTEM_INFORMATION_CLASS枚举类型定义
zfs2008zfs的博客
04-13 4818
SYSTEM_INFORMATION_CLASS是一个未文档化的结构体,在很多未文档化的函数中使用,比如ZwQuerySystemInformation、ZwSetSystemInformation中被调用,
(转)ZwQuerySystemInformation枚举内核模块及简单应用
weixin_30484739的博客
01-22 141
http://hi.baidu.com/_achillis/item/8b33ead8ccac28ea3cc2cb17 简单说,即调用第11号功能,枚举一下内核中已加载的模块。部分代码如下://功能号为11,先获取所需的缓冲区大小ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen);//申请内存ZwA...
在ring3下列举系统中已加载的驱动模块的信息
Y___Y的专栏
07-02 1212
#include #include #include #include #pragma comment( linker, "/subsystem:console" )typedef LONG NTSTATUS;#define NT_SUCCESS(status)      ((NTSTATUS)(status)>=0)/***************************************
ZwQuerySystemInformation 查看系统进程信息
小驹的专栏
05-19 1万+
ZwQuerySystemInformation 查看系统进程信息 #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInform
3环获取0环模块加载基址
qq_37936147的博客
07-03 240
static ULONG_PTR get_mod_base(char *name) { int i; RTL_PROCESS_MODULES *m; DWORD got = 0; NTSTATUS ret = NtQuerySystemInformation( SystemModuleInformation, NULL, 0, &got); if (ret != STATU...
获取自身驱动的模块地址和大小长度
追逐光芒,追随内心
10-28 550
//功能:模块基址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
总结一下得到内核模块地址的方法
weixin_34055910的博客
08-27 740
网上说的比较常见的4种方法:1、通过DriverEntry传入的DriverObject参数的DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基址和大小2、ZwQuerySystemInformation大法3、搜索内存4、利用KPCR结构存在的问题:1、第1种方法和第4种方法得到的结果比ZwQuerySy...
求 1~1000 之间的所有素数。枚举c++
最新发布
05-30
可以使用简单的枚举法判断一个数是否为素数。即从2开始到该数的平方根之间,判断该数是否有因子。 以下是求1~1000之间的所有素数的C++代码: ```c++ #include using namespace std; bool isPrime(int n) { if ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值