遍历内核模块

最新推荐文章于 2023-06-12 09:12:38 发布
最新推荐文章于 2023-06-12 09:12:38 发布
阅读量710 收藏 3
点赞数
分类专栏: 驱动编程 文章标签: 反汇编 逆向 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/105607813
版权 
typedef struct _DRIVER_OBJECT {
    CSHORT              Type;
    CSHORT              Size;
    PDEVICE_OBJECT      DeviceObject;
    ULONG               Flags;
    PVOID               DriverStart;
    ULONG               DriverSize;
    PVOID               DriverSection;
    PDRIVER_EXTENSION   DriverExtension;
    UNICODE_STRING      DriverName;
    PUNICODE_STRING     HardwareDatabase;
    PFAST_IO_DISPATCH   FastIoDispatch;
    PDRIVER_INITIALIZE  DriverInit;
    PDRIVER_STARTIO     DriverStartIo;
    PDRIVER_UNLOAD      DriverUnload;
    PDRIVER_DISPATCH    MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];
} DRIVER_OBJECT;
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

DriverSection :
里面存的是 结构体 _LDR_DATA_TABLE_ENTRY64 的指针

typedef struct _LDR_DATA_TABLE_ENTRY64
{
    LIST_ENTRY64    InLoadOrderLinks;
    LIST_ENTRY64    InMemoryOrderLinks;
    LIST_ENTRY64    InInitializationOrderLinks;
    PVOID            DllBase;
    PVOID            EntryPoint;
    ULONG            SizeOfImage;
    UNICODE_STRING    FullDllName;
    UNICODE_STRING     BaseDllName;
    ULONG            Flags;
    USHORT            LoadCount;
    USHORT            TlsIndex;
    PVOID            SectionPointer;
    ULONG            CheckSum;
    PVOID            LoadedImports;
    PVOID            EntryPointActivationContext;
    PVOID            PatchInformation;
    LIST_ENTRY64    ForwarderLinks;
    LIST_ENTRY64    ServiceTagLinks;
    LIST_ENTRY64    StaticLinks;
    PVOID            ContextInformation;
    ULONG64            OriginalBase;
    LARGE_INTEGER    LoadTime;
} LDR_DATA_TABLE_ENTRY64, *PLDR_DATA_TABLE_ENTRY64;

  +0x000 InLoadOrderLinks : _LIST_ENTRY   //驱动模块加载的顺序
 4       +0x000 Flink            : Ptr32 
 5       +0x004 Blink            : Ptr32 
 6    +0x008 InMemoryOrderLinks : _LIST_ENTRY   //模块在内存中的顺序  在驱动中为空
 7       +0x000 Flink            : Ptr32 
 8       +0x004 Blink            : Ptr32 
 9    +0x010 InInitializationOrderLinks : _LIST_ENTRY   //模块初始化的顺序  在驱动中为空
10       +0x000 Flink            : Ptr32 
11       +0x004 Blink            : Ptr32 
12    +0x018 DllBase          : Ptr32 
13    +0x01c EntryPoint       : Ptr32 
14    +0x020 SizeOfImage      : Uint4B
15    +0x024 FullDllName      : _UNICODE_STRING
16       +0x000 Length           : Uint2B
17       +0x002 MaximumLength    : Uint2B
18       +0x004 Buffer           : Ptr32 
19    +0x02c BaseDllName      : _UNICODE_STRING
20       +0x000 Length           : Uint2B
21       +0x002 MaximumLength    : Uint2B
22       +0x004 Buffer           : Ptr32 
23    +0x034 Flags            : Uint4B
24    +0x038 LoadCount        : Uint2B
25    +0x03a TlsIndex         : Uint2B
26    +0x03c HashLinks        : _LIST_ENTRY
27       +0x000 Flink            : Ptr32 
28       +0x004 Blink            : Ptr32 
29    +0x03c SectionPointer   : Ptr32 
30    +0x040 CheckSum         : Uint4B
31    +0x044 TimeDateStamp    : Uint4B
32    +0x044 LoadedImports    : Ptr32 
33    +0x048 EntryPointActivationContext : Ptr32 
34    +0x04c PatchInformation : Ptr32

遍历代码

#include<ntifs.h>

typedef struct _LDR_DATA_TABLE_ENTRY64
{
	LIST_ENTRY64    InLoadOrderLinks;
	LIST_ENTRY64    InMemoryOrderLinks;
	LIST_ENTRY64    InInitializationOrderLinks;
	PVOID            DllBase;
	PVOID            EntryPoint;
	ULONG            SizeOfImage;
	UNICODE_STRING    FullDllName;
	UNICODE_STRING     BaseDllName;
	ULONG            Flags;
	USHORT            LoadCount;
	USHORT            TlsIndex;
	PVOID            SectionPointer;
	ULONG            CheckSum;
	PVOID            LoadedImports;
	PVOID            EntryPointActivationContext;
	PVOID            PatchInformation;
	LIST_ENTRY64    ForwarderLinks;
	LIST_ENTRY64    ServiceTagLinks;
	LIST_ENTRY64    StaticLinks;
	PVOID            ContextInformation;
	ULONG64            OriginalBase;
	LARGE_INTEGER    LoadTime;
} LDR_DATA_TABLE_ENTRY64, *PLDR_DATA_TABLE_ENTRY64;

VOID DriverUnload(PDRIVER_OBJECT DriverObject)
{
	
}

NTSTATUS GetSystemModuleInfo(PDRIVER_OBJECT DriverObject)
{
	PLDR_DATA_TABLE_ENTRY64 pLDTE = NULL;
	PLDR_DATA_TABLE_ENTRY64 pNextLDTE = NULL;

	/*********** 变量申明在这上面************/

	//DriverSection保存的是_LDR_DATA_TABLE_ENTRY 结构体的指针
	//pLDTE  保存本模块的_LDR_DATA_TABLE_ENTRY指针
	pLDTE = (PLDR_DATA_TABLE_ENTRY64)DriverObject->DriverSection;
	
	//通过模块链表找到ntoskrnl.exe的位置
	pNextLDTE = pLDTE;
	do {
		if (pNextLDTE->SizeOfImage != 0)
		{
			if (pNextLDTE->BaseDllName.Buffer[pNextLDTE->BaseDllName.Length / 2 - 3] == L'e'&&
				pNextLDTE->BaseDllName.Buffer[pNextLDTE->BaseDllName.Length / 2 - 2] == L'x'&&
				pNextLDTE->BaseDllName.Buffer[pNextLDTE->BaseDllName.Length /2 - 1] == L'e')
			{
				pLDTE = pNextLDTE;
				break;
			}
		}
		pNextLDTE = (PLDR_DATA_TABLE_ENTRY64)(((PLIST_ENTRY)pNextLDTE)->Flink);
	} while (pLDTE != pNextLDTE);

	//从系统模块开始遍历链表
	do {
		if (pNextLDTE->SizeOfImage != 0)
		{
			DbgPrint("模块名%wZ\n", &pNextLDTE->BaseDllName);
		}
		pNextLDTE = (PLDR_DATA_TABLE_ENTRY64)(((PLIST_ENTRY)pNextLDTE)->Flink);
	} while (pLDTE != pNextLDTE);
	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(
	PDRIVER_OBJECT DriverObject,		// 驱动对象,类似实例句柄
	PUNICODE_STRING RegistryPath)		// 字符串指针,保存驱动在注册表的路径
{
	//设置回调函数
	DbgPrint("驱动开始加载\n");
	DriverObject->DriverUnload = DriverUnload;
	GetSystemModuleInfo(DriverObject);
	return STATUS_SUCCESS;
}

使用ZwQuerySystemInformation来遍历内核模块

typedef enum _SYSTEM_INFORMATION_CLASS
{
	SystemModuleInformation = 11
}SYSTEM_INFORMATION_CLASS;

NTSTATUS ZwQuerySystemInformation(
	IN ULONG SystemInformationClass,  
	OUT PVOID SystemInformation,
	IN ULONG SystemInformationLength,
	OUT PULONG ReturnLength);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {
	HANDLE Section;
	PVOID MappedBase;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT LoadOrderIndex;
	USHORT InitOrderIndex;
	USHORT LoadCount;
	USHORT PathLength;
	CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;


typedef struct _SYSTEM_MODULE_INFORMATION {
	ULONG Count;	//模块总个数 后面的全部都是SYSTEM_MODULE_INFORMATION_ENTRY结构 系统会把所有的模块信息都写在下面的数组里面
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;


VOID EnumModule()
{
	NTSTATUS status = STATUS_SUCCESS;
	PSYSTEM_MODULE_INFORMATION pSysModInfo = (PSYSTEM_MODULE_INFORMATION)ExAllocatePoolWithTag(PagedPool, 0x1024 * 32, 'dale');
	if (!pSysModInfo)
	{
		KdPrint(("内存分配失败\n"));
		return;
	}

	RtlZeroMemory(pSysModInfo, 0x1024 * 32);
	ULONG ulRet;
	status = ZwQuerySystemInformation(SystemModuleInformation, pSysModInfo, 0x1024 * 32, &ulRet);

	if (!NT_SUCCESS(status))
	{
		KdPrint(("枚举模块信息失败\n"));
	}

	for (ULONG i = 0; i < pSysModInfo->Count;i++)
	{
		KdPrint(("模块名%s\n 模块基址%p 模块大小0x%x\n",
			pSysModInfo->Module[i].ImageName,
			pSysModInfo->Module[i].Base,
			pSysModInfo->Module[i].Size

				
			));
	}

}
qq_857305819
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtQuerySystemInformation的使用
乐朝夕与之共
12-19 8417
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
x64 驱动测试用户是否共享内核空间 和内核模块
weixin_41725706的博客
11-06 176
windows10 x64 内核是否共享和内核模块
驱动开发:内核进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
win7-32、驱动模块、驱动模块隐藏
Windows内核学习笔记
07-08 857
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
Windows内核驱动EPROCESS遍进程模块
12-14
windows驱动 遍进程模块
Linux编写内核模块新增系统调用遍进程树--基于Ubuntu20.04.03LTS实现
02-18
利用该系统调用能够遍系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 实验环境: Ubuntu 20.04.03 LTS,Kernel Version 5.13.0(截至2022年2月18日Ubuntu...
14.遍驱动模块.mp4
09-10
windows x64驱动程序开发 14.遍驱动模块.
Linux下线性和DFS遍进程树 内核模块
06-01
Linux下编写一个内核模块,分别线性遍所有进程和DFS遍进程树
操作系统课程实验--内核模块创建与链表构建Project-1.pdf
11-08
创建内核模块以及加载和卸载模块。确保使用dmesg检查内核日志缓冲区的内容,在模块入口点,创建一个包含四个struct Birthday元素的链表。遍链接列表并将其内容输出到内核日志缓冲区。加载内核模块后,调用dmesg...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
x64驱动 遍驱动模块
LYSM
07-02 2136
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3050
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
操作系统[系统学习二]
weixin_40996518的博客
09-09 316
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
驱动开发:内核文件或目录
最新发布
CSDN
06-12 9162
在笔者前一篇文章`《驱动开发:内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍该目录即可获取到文件的详细参数,如下将具体分析并实现遍目录功能。
Windows驱动开发学习记录-遍内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1747
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
Windows系统的内核模块
baggiowangyu的专栏
12-22 3150
自己做了一个工具需要遍Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: #include #include #include #include #pragma comment(lib, "psapi") #define ARRAY_SIZE 1024 void EnumKernelModule() {
Windows系统的内核模块(源码)
liujiayu2的专栏
05-31 1708
原文链接: http://blog.csdn.net/baggiowangyu/article/details/7094946 自己做了一个工具需要遍Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: [cpp] view plain copy
php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息
weixin_35817602的博客
03-19 398
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
【转】ZwQuerySystemInformation的分析(加载模块
01-05 221
原帖地址:http://www.mouseos.com/windows/kernel/ZwQuerySystemInformation.html 内核模块可以使有 ZwQuerySystemInformation() 函数来获取已加载模块的信息,这个 routine 的原型定义为: NTSYSAPINTSTATUSNTAPIZwQuerySystemInformation ( ...
实现linux内核模块,生成任务列表
04-23
要实现这样一个内核模块,你可以使用Linux提供的进程遍接口,例如`for_each_process()`。在这个遍函数中,你可以遍所有运行中的进程,查询其进程ID、进程名、状态、内存占用等详细信息,并将这些信息输出到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值