64位下暴力搜索硬编码

最新推荐文章于 2023-11-01 18:11:12 发布
最新推荐文章于 2023-11-01 18:11:12 发布
阅读量273 收藏
点赞数
分类专栏: 内核安全编程 驱动编程 X64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/109081743
版权
该博客主要介绍了如何在Windows系统中获取内核模块(如ntoskrnl.exe)的基础地址。通过遍历_LDR_DATA_TABLE_ENTRY结构体的链表,找到对应的基址。同时,展示了使用MmIsAddressValid函数检查内存地址的有效性,以及通过特定指令序列搜索内核函数的方法。
摘要由CSDN通过智能技术生成 
ULONG64 g_kernelModuleBase=0;

typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union
	{
		LIST_ENTRY HashLinks;
		struct
		{
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union
	{
		ULONG TimeDateStamp;
		PVOID LoadedImports;
	};
	PULONG_PTR * EntryPointActivationContext;
	PVOID PatchInformation;
	LIST_ENTRY ForwarderLinks;
	LIST_ENTRY ServiceTagLinks;
	LIST_ENTRY StaticLinks;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;


ULONG_PTR GetKernelModuleBase(PDRIVER_OBJECT pDriverObj)
{

	PLDR_DATA_TABLE_ENTRY pLDTE = NULL;
	PLDR_DATA_TABLE_ENTRY pNextLDTE = NULL;

	pLDTE = pDriverObj->DriverSection;
	//用pNextLDTE来遍历链表
	pNextLDTE = pLDTE;
	UNICODE_STRING moduleName;
	RtlInitUnicodeString(&moduleName, L"ntoskrnl.exe");

	do{
		if (pNextLDTE->BaseDllName.Buffer == NULL)
		{
			pNextLDTE = (PLDR_DATA_TABLE_ENTRY)(((PLIST_ENTRY)pNextLDTE)->Flink);
			continue;
		}

		if (RtlCompareUnicodeString(&moduleName, &pNextLDTE->BaseDllName, FALSE) == 0)
		{
			return (ULONG_PTR)(pNextLDTE->DllBase);
		}


		//下面这两种方式都可以  原理是 _LDR_DATA_TABLE_ENTRY 的第一项是PLIST_ENTRY   +0  Blink  +4Flink
		//pNextLDTE=(PLDR_DATA_TABLE_ENTRY)(*((PULONG)pNextLDTE+1));  
		pNextLDTE = (PLDR_DATA_TABLE_ENTRY)(((PLIST_ENTRY)pNextLDTE)->Flink);

	} while (pLDTE != pNextLDTE);
		RtlFreeUnicodeString(&moduleName);
	return 0;
}

typedef BOOLEAN (*SEARCHPROC)(ULONG_PTR i);


ULONG_PTR SearchFunction(SEARCHPROC SearchProc)
{

	for (ULONG_PTR i = g_kernelModuleBase; i < g_kernelModuleBase + 0xffffff; i++)
	{

		if (!MmIsAddressValid((PVOID)i))
		{
			i = i + 0x1000;
			KdPrint(("无效页:%I64x\n", i));
			continue;
		}

		if (SearchProc(i))
		{
			return i;
		}
	}
	return 0;
}

BOOLEAN MiProcessLoderEntryProc(ULONG_PTR i)
{
	if (*(PUCHAR)i == 0x48 && *((PUCHAR)i + 0xa) == 0x57 && *((PUCHAR)i + 0x24) == 0xb2 && *((PUCHAR)i + 0x25) == 0x01 && *((PUCHAR)i + 0x40) == 0xe8 && *((PUCHAR)i + 0x41) == 0x83)
	{
		return TRUE;
	}
	return FALSE;
}
qq_857305819
关注
专栏目录
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
一个低级错误引发Netty编码解码中文异常
m0_67698950的博客
05-27 3219
前言# 最近在调研Netty的使用,在编写编码解码模块的时候遇到了一个中文字符串编码和解码异常的情况,后来发现是笔者犯了个低级错误。这里做一个小小的回顾。 错误重现# 在设计Netty的自定义协议的时候,发现了字符串类型的属性,一旦出现中文就会出现解码异常的现象,这个异常并不一定出现了Exception,而是出现了解码之后字符截断出现了人类不可读的字符。编码和解码器的实现如下: // 实体 @Data public class ChineseMessage implements Serializa
家庭问题:简单的暴力搜索
hezhixingde的博客
08-25 311
家庭问题: 题目描述 有n个人,编号为1,2,……n,另外还知道存在K个关系。一个关系的表达为二元组(α,β)形式,表示α,β为同一家庭的成员。当n,k和k个关系给出之后,求出其中共有多少个家庭、最大的家庭中有多少人?例如:n=6,k=3,三个关系为(1,2),(1,3),(4,5)此时,6个人组成三个家庭,即:{1,2,3}为一个家庭,{4,5}为一个家庭,{6}单独为一个家庭,第一个家庭的人数为最多。 输入 文件的第一行为n,k二个整数(1≤n≤100)(用空格分隔) 接下来的k行,每行二个整数(用空格
简单的暴力搜索
felicitia的专栏
05-04 4237
有些数据量不大的题目可以通过暴力搜索来实现,有固定的做题套路,下面写两道简单的题来总结一下: /** * 有一群海盗(不多于20人),在船上比拼酒量。 * 过程如下:打开一瓶酒,所有在场的人平分喝下, * 有几个人倒下了。再打开一瓶酒平分,又有倒下的, * 再次重复...... 直到开了第4瓶酒,坐着的已经所剩无几, * 海盗船长也在其中。当第4瓶酒平分喝下后,大家都倒下了。 *
(二)入门编程之技巧——DFS(暴力搜索
stn54999的博客
02-20 958
引入: 许多问题,我们在考虑的时候可能一开始没有办法直接解决,比如给你一个整数n,让你实现1-n元素的全排列问题,不知道n是几,那么就难以解决循环几层的问题。DFS有两种引入方案,一个是图论:深度优先搜索。而我自己的理解是一层一层的逐步寻找答案:暴力搜索。那么针对全排列问题,就可以变成,第一个数有几种可能,第一个数选完以后,第二个数有几种可能,以此类推。图论是回溯思想,从所有可能的点出发,找下一个可能进入的点,行不通就返回到上一个点。因人而异,看你更喜欢哪种理解好咯! 题目: 八皇后问题,这个问题就是很典型
硬编码_x86
re1wn
03-07 1451
硬编码:机器指令
IDA 反编译之创建结构体分析调用的API某硬编码
qq_33163046的博客
10-22 6035
在逆向分析某mqtt client软件的时候,由于调用了“Paho Asynchronous MQTT C Client Library”,为了分析获得某硬编码的API参数值,需要构造struct。下面是分析的过程
搜索排序】召回综述Semantic Models for the First-Stage Retrieval: A Comprehensive Review
weixin_40485502的博客
04-29 2170
信息检索,召回
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2741
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
【字符串匹配算法】:从暴力法到KMP,JavaScript中的算法实现
这个问题在文本编辑器、搜索引擎、生物信息学等领域有广泛应用。本章首先对字符串匹配算法的基本概念和主要算法进行概述。 ## 1.1 字符串匹配的重要性 字符串匹配算法对于理解文本处理及信息检索等领域至
暴力查找算法及KMP算法介绍
qq_43271202的博客
05-23 1055
KMP算法 我们知道,串类型有一个功能是查找子串,而查找的方法有多种,如暴力查找法、KMP算法,这次我们来介绍一下这些方法 首先说明一下一些符号及名词的含义: S为主串 T为待查找的子串,也称为模式串 子串在主串中的位置: 子串在主串中第一次出现时首字母在主串中的索引位置,即子串在主串中的位置。对于主串“to be or not to be ,This is a question”,子串“be”...
最基础的暴力搜索(部分和问题))(Lake Counting)
Claire的博客
03-22 433
暴力搜索 暴力搜索是将所有的可能性罗列出来,在其中寻找答案的方法。 递归函数 一个函数中再次调用该函数自身的行为叫做递归 求n得阶乘 栈 后进先出 函数的调用的过程是通过使用栈实现的。因此,递归函数的递归过程也可以改用栈上的操作来实现。 现实当中需要如此改写的场合并不多,不过作为使用栈的练习试试看也不错的。 队列 先进先出 java 和c++中的函数的名称与用途有不同,要注意 深度优先...
【2021.01.08】硬编码
oalken的博客
01-08 306
指令编码(硬编码)的结构 最短1个字节,最长不会超过15个字节。 x86 x64 反汇编引擎 将硬编码转换为汇编代码。 将汇编代码转换为硬编码
浅谈一下驱动开发中的硬编码
cqyczj的专栏
04-18 2235
链 接: http://bbs.pediy.com/showthread.php?t=142463 驱动开发中硬编码是比较烦人的,不仅让别人看起来不怎么专业,自己看着心里也疙疙瘩瘩的不舒服 最常见的就是对于EPROCESS结构中ImageFileName的定位,不同系统下这个域的偏移是不同的, 常见做法就是得到EPROCESS之后根据系统的不同来加上不同的偏移, 或者也有在PsIn
X64(64位汇编指令与机器码转换原理
最新发布
百里杨的博客
11-01 4658
REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。第二步,以寄存器操作数,反推ModRM.reg与REX.R。
ring0级暴力搜索内存检测系统隐藏进程(或Rootkit)
小驹的专栏
05-18 2077
#include //EPROCESS结构大小,我的系统是XP SP3,所以0x260,不过经过测试,这里设置成比实际EPROCESS小也是没问题的 #define EPROCESS_SIZE 0x260 #define PEB_OFFSET 0x1B0 //PEB偏移,下面就不注释了 #define FILE_NAME_OFFSET
硬编码学习笔记(一)—— 经典定长指令
qq_41988448的博客
04-01 1197
硬编码学习笔记(一)—— 经典定长指令前言指令结构符号说明寻址符号操作数符号上标符号One-Byte Opcode Map经典定长指令:修改寄存器0x40~0x470x48~0x4F0x50~0x570x58~0x5F0x90~0x970xB0~0xB70xB8~0xBF经典定长指令:修改EIP0x70~0x7F0x0F80~0x0F8F0xE00xE10xE20xE30xE80xE90xEA0xEB0xC20xC30xCA0xCB 前言 本次学习仅基于intel x86模式 指令结构 描述:对于任何一
python database decimal_Django ORM可以以可靠的后端无关方式存储一个无符号的64位整数(又称ulong64还是uint64)?...
weixin_39732506的博客
12-14 139
All the docs I've seen imply that you might be able to do that, but there isn't anything official w/r/t ulong64/uint64 fields. There are a few off-the-shelf options that look quite promising in this a...
ULONG64转CString
dengziliang001的专栏
12-25 1702
CString str; ULONG64 ulData = 0x1234123412341234; str.Format("SN:%I64u",stDiskInfo.uShowCurrSN);
ASP.NET 2.0:硬编码参数与详情视图实例
为了实现这一点,开发者需要明确指定参数的来源,包括硬编码值、查询字符串、会话变量、页面控件的值等。本章节将以实例的形式讲解: 1. 使用硬编码参数值:在DeclarativeParams.aspx页面上,添加一个新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值