内核上项目【获取模块】

已于 2023-12-12 22:28:52 修改
阅读量192 收藏
点赞数 1
分类专栏: windows内核 文章标签: 安全 windows 驱动开发 系统安全 网络安全
于 2023-11-04 19:13:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/134221540
版权

文章目录

目的

在Win7 64位系统编写驱动获取目标进程的模块地址

操作步骤

1.打开目标进程
2.附加到目标进程
3.根据PsGetProcessWow64Process获取目标进程版本
3.根据不同的位数遍历相应的进程链表结构LDR寻找目标模块,匹配成功则返回模块地址

注意事项

在64位很多宏默认为64位需要进行调整修改为特定长度,这样寻找到的LDR等值才能与32位程序适配

实现代码

代码如下:
头文件“GetModule.h”

#pragma once
#include<ntifs.h>
HANDLE GetObjectModule(HANDLE pid,CHAR* ModuleName);
EXTERN_C PVOID NTAPI PsGetProcessWow64Process(PEPROCESS Process);
typedef PPEB(__stdcall* PFNPsGetProcessPeb)(PEPROCESS pEProcess);

typedef struct _PEB32 {
    UCHAR InheritedAddressSpace;
    UCHAR ReadImageFileExecOptions;
    UCHAR BeingDebugged;
    UCHAR Spare;
    ULONG Mutant;
    ULONG ImageBaseAddress;
    ULONG/*PPEB_LDR_DATA32*/ Ldr;
} PEB32, * PPEB32;

typedef struct _PEB64
{
    UCHAR InheritedAddressSpace;                                            //0x0
    UCHAR ReadImageFileExecOptions;                                         //0x1
    UCHAR BeingDebugged;                                                    //0x2
    union
    {
        UCHAR BitField;                                                     //0x3
        struct
        {
            UCHAR ImageUsesLargePages : 1;                                    //0x3
            UCHAR IsProtectedProcess : 1;                                     //0x3
            UCHAR IsLegacyProcess : 1;                                        //0x3
            UCHAR IsImageDynamicallyRelocated : 1;                            //0x3
            UCHAR SkipPatchingUser32Forwarders : 1;                           //0x3
            UCHAR SpareBits : 3;                                              //0x3
        };
    };
    ULONGLONG Mutant;                                                       //0x8
    ULONGLONG ImageBaseAddress;                                             //0x10
    ULONGLONG Ldr;                                                          //0x18
}PEB64, * PPEB64;

//0x58 bytes (sizeof)
typedef struct _PEB_LDR_DATA64
{
    ULONG Length;                                                           //0x0
    UCHAR Initialized;                                                      //0x4
    VOID* SsHandle;                                                         //0x8
    struct _LIST_ENTRY InLoadOrderModuleList;                               //0x10
    struct _LIST_ENTRY InMemoryOrderModuleList;                             //0x20
    struct _LIST_ENTRY InInitializationOrderModuleList;                     //0x30
    VOID* EntryInProgress;                                                  //0x40
    UCHAR ShutdownInProgress;                                               //0x48
    VOID* ShutdownThreadId;                                                 //0x50
}PEB_LDR_DATA64,*PPEB_LDR_DATA64;

typedef struct _PEB_LDR_DATA32
{
    ULONG Length;                                                           //0x0
    UCHAR Initialized;                                                      //0x4
    ULONG SsHandle;                                                         //0x8
    LIST_ENTRY32 InLoadOrderModuleList;                               //0xc
    LIST_ENTRY32 InMemoryOrderModuleList;                             //0x14
    LIST_ENTRY32 InInitializationOrderModuleList;                     //0x1c
    ULONG EntryInProgress;                                                  //0x24
    UCHAR ShutdownInProgress;                                               //0x28
    ULONG ShutdownThreadId;                                                 //0x2c
}PEB_LDR_DATA32,*PPEB_LDR_DATA32;

//0x78 bytes (sizeof)
typedef struct _LDR_DATA_TABLE_ENTRY32
{
    LIST_ENTRY32 InLoadOrderLinks;                                    //0x0
    LIST_ENTRY32 InMemoryOrderLinks;                                  //0x8
    LIST_ENTRY32 InInitializationOrderLinks;                          //0x10
    ULONG DllBase;                                                          //0x18
    ULONG EntryPoint;                                                       //0x1c
    ULONG SizeOfImage;                                                      //0x20
    UNICODE_STRING32 FullDllName;                                     //0x24
    UNICODE_STRING32 BaseDllName;                                     //0x2c
    ULONG Flags;                                                            //0x34
    USHORT LoadCount;                                                       //0x38
    USHORT TlsIndex;                                                        //0x3a
}LDR_DATA_TABLE_ENTRY32,* PLDR_DATA_TABLE_ENTRY32;

//0xe0 bytes (sizeof)
typedef struct _LDR_DATA_TABLE_ENTRY64
{
    struct _LIST_ENTRY InLoadOrderLinks;                                    //0x0
    struct _LIST_ENTRY InMemoryOrderLinks;                                  //0x10
    struct _LIST_ENTRY InInitializationOrderLinks;                          //0x20
    VOID* DllBase;                                                          //0x30
    VOID* EntryPoint;                                                       //0x38
    LONGLONG SizeOfImage;                                                      //0x40
    struct _UNICODE_STRING FullDllName;                                     //0x48
    struct _UNICODE_STRING BaseDllName;                                     //0x58
}LDR_DATA_TABLE_ENTRY64, * PLDR_DATA_TABLE_ENTRY64;

实现函数文件function.c

#include<ntifs.h>
#include<ntstrsafe.h>
#include"GetModule.h"

NTSTATUS ConvertCharToUnicodeString(char* charString, UNICODE_STRING* unicodeString)
{
	ANSI_STRING ansiString = {0};
	RtlInitAnsiString(&ansiString, charString);

	return RtlAnsiStringToUnicodeString(unicodeString, &ansiString, TRUE);
}

/*
功能:获取目标进程的模块的DllBase
参数一:目标进程的PID
参数二:需要寻找的模块名称
返回:寻找到的模块DllBase
*/
HANDLE GetObjectModule(HANDLE pid, CHAR* ModuleName)
{
	PEPROCESS Process = 0;
	PLDR_DATA_TABLE_ENTRY32 pBase32, pNext32;
	PLDR_DATA_TABLE_ENTRY64 pBase64, pNext64;
	UNICODE_STRING CompareModuleName = {0};
	BOOLEAN FindIs = FALSE;
	HANDLE return_handle = 0;
	UNICODE_STRING uniFunctionName;
	ConvertCharToUnicodeString(ModuleName,&CompareModuleName);
	PFNPsGetProcessPeb  PsGetProcessPeb = NULL;

	NTSTATUS is = PsLookupProcessByProcessId(pid, &Process);
	if (!NT_SUCCESS(is))
	{
		return 0;
	}
	KAPC_STATE stack = { 0 };
	KeStackAttachProcess(Process, &stack);

	PPEB32 peb32  = PsGetProcessWow64Process(Process);

	if (peb32 == NULL) //如果为64位进程
	{
		RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");
		PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);
		PPEB64 peb64 = PsGetProcessPeb(Process);

		PPEB_LDR_DATA64 peb64ldr = (PPEB_LDR_DATA64)peb64->Ldr;
		pBase64 = (PLDR_DATA_TABLE_ENTRY64)(peb64ldr->InLoadOrderModuleList.Flink);
		pNext64 = pBase64;

		do
		{
			UNICODE_STRING UnicodeString = { 0 };
			RtlUnicodeStringInit(&UnicodeString, pNext64->BaseDllName.Buffer);
			if (!RtlCompareUnicodeString(&UnicodeString, &CompareModuleName, TRUE))
			{
				FindIs = TRUE;
				return_handle = pNext64->DllBase;
				break;
			}
			else
			{
				pNext64 = pNext64->InLoadOrderLinks.Flink;
			}
		} while (pNext64 != pBase64);

		KeUnstackDetachProcess(&stack);
		ObDereferenceObject(Process);
		RtlFreeUnicodeString(&CompareModuleName);
	}
	else //如果为32位进程
	{
		PPEB_LDR_DATA32 peb32ldr = (PPEB_LDR_DATA32)peb32->Ldr;

		pBase32 = (PLDR_DATA_TABLE_ENTRY32)(peb32ldr->InLoadOrderModuleList.Flink);
		pNext32 = pBase32;

		do
		{
			UNICODE_STRING UnicodeString = { 0 };
			RtlUnicodeStringInit(&UnicodeString, (PWCH)pNext32->BaseDllName.Buffer);
			if (!RtlCompareUnicodeString(&UnicodeString, &CompareModuleName, TRUE))
			{
				FindIs = TRUE;
				return_handle = pNext32->DllBase;
				break;
			}
			else
			{
				pNext32 = pNext32->InLoadOrderLinks.Flink;
			}
		} while (pNext32 != pBase32);

		KeUnstackDetachProcess(&stack);
		ObDereferenceObject(Process);
		RtlFreeUnicodeString(&CompareModuleName);
	}
	
	if (FindIs == TRUE)
	{
		return return_handle;
	}
	return 0;
}

驱动主文件main.c

#include<ntifs.h>
#include"GetModule.h"

VOID DriverUnload(_In_ struct _DRIVER_OBJECT* DriverObject)
{
	DbgPrint("--------------DRIVER_UNLOAD-----------------");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	HANDLE address;
	DbgBreakPoint();
	address = GetObjectModule(1140,"ntdll.dll");


	pDriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;
}
mi-key
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kmod:一个用C编写的linux内核的简单模块,与《操作系统概念》一书兼容
05-15
公里 一个用C编写的linux内核的简单模块,与《操作系统概念》一书兼容 ... 装入和卸下模块内核模块dmesg输出的源代码(提示:您可以输出重定向以将dmesg输出获取到文件。例如,$ dmesg> dmesg_out_modu
关于LDR_MODULE结构
weixin_30314813的博客
07-30 493
在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?其实弄清楚LDR_MODULE结构的详细定义这些疑问也就会迎刃而解了. Code1...
KernelModeMonitor:内核模式驱动程序和用户模式应用程序通信项目
05-11
但直接从驱动程序获取数据对象资源管理器:模拟Microsoft的WinObj工具模块:列出加载的模块(.dll和.sys文件) 驱动程序对象:列出目录对象内的所有驱动程序VS版本使用Visual Studio 2013 Ultimate和WDK(Windows...
linux_version.rar_linux项目
09-24
linux下获取内核版本号的模块,避免使用脚本操作,直接可以用于项目的工业级代码,经过了项目的严格测试,测试覆盖率100
linux项目工程资料-基于LKM的Linux内核级rootkit的实现,包含模块隐藏、提权、文件隐藏、端口隐藏功能.zip
03-02
项目以Linux内核为核心,围绕其构建了一个完整的操作系统,包括各种系统工具、库、应用程序和硬件支持。 以下是Linux项目的一些主要特点和资料介绍: 开放源代码:Linux项目的所有源代码都是公开的,并允许任何...
利用Android中Sqlite数据库的一个登陆注册系统(含加密模块).zip
03-04
1. 开放源代码:Android 是基于 Linux 内核的开源操作系统,开发人员可以自由获取、使用和修改源代码。 2. 多样化的硬件设备支持:Android 支持多种硬件设备和屏幕尺寸,可以运行于手机、平板电脑、电视、手表等多种...
概念解析 | 威胁建模与DREAD评估:构建安全的系统防线
NLOS的博客
05-05 432
在信息安全领域,威胁建模就像是一位睿智的军师,他审时度势,为系统安全布局。这位军师会仔细分析系统的架构,找出其中潜在的薄弱环节,预判可能出现的安全威胁。他会问自己这样的问题:“如果我是敌人,我会从哪里发起进攻?我的目标是什么?我会利用系统的哪些漏洞?通过这样的分析,威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险,找出最需要防范的威胁,并有针对性地制定防御策略。这就像是在城墙上加固门禁,在易受攻击的地方布置更多的守卫。
内容安全(IPS入侵检测)
m0_66993332的博客
05-07 457
入侵检测系统IPS
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
网络安全
05-04 725
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet
JAVA语言开发的(智慧校园系统源码)智慧校园的痛点、智慧校园的安全应用、智慧校园解决方案
爱笑的源码博客
05-07 1111
智慧校园的解决方案 1、基础设施建设:无线网络全覆盖:确保校园内所有区域都有稳定的无线网络信号,满足师生在教学、学习、科研和生活中的网络需求。 2、物联网部署:在教室、实验室、图书馆、宿舍等场所部署物联网设备,实现设备间的互联互通和智能管理。
AI烟雾监测识别摄像机:智能化安全防范的新利器
bova2022的博客
05-07 361
AI烟雾监测识别摄像机的应用范围广泛,不仅可以安装在家庭、商业建筑、工厂等场所,还可以应用于地铁、火车站等公共场所,为人们的生命财产安全提供全方位的保障。应运而生,成为智能化安全防范的新利器。这种AI烟雾监测识别摄像机,融合了人工智能技术和摄像监控技术,能够实时监测环境中的烟雾情况,并在检测到异常时及时触发警报,以便采取及时有效的灭火措施,最大程度地减少火灾带来的损失。随着现代社会的不断发展,人们对于安全问题的关注日益增加,尤其是在日常生活和工作中,对火灾等意外事件的预防成为了一项重要任务。
Java 开发 框架安全:Spring 漏洞序列.(CVE-2022-22965)
网络安全领域___专研者.
05-07 545
Spring 框架是一个用于构建企业级应用程序的开源框架。它提供了一种全面的编程和配置模型,可以简化应用程序的开发过程。Spring 框架的核心特性包括依赖注入(Dependency Injection)、面向切面编程(Aspect-Oriented Programming)、声明式事务管理(Declarative Transaction Management)等。依赖注入是 Spring 框架的核心概念之一,它通过将对象之间的依赖关系外部化,使得对象之间的协作更加灵活和可测试。
【玩转Google云】构建安全高效的电商系统:GCP VPC 网络规划指南
Coder加油站的专栏
05-05 406
在竞争激烈的电商领域,一个安全、高效且可扩展的网络基础架构至关重要。本文将深入探讨 Google Cloud Platform (GCP) 的 Virtual Private Cloud (VPC) 如何助力构建理想的电商系统。通过以一个典型的电商网站为例,我们将逐步解析 VPC 网络规划的关键步骤,包括子网划分、防火墙配置、连接选项和安全措施等。无论您是电商平台的开发者还是运维人员,本文都将为您提供宝贵的见解和最佳实践,助您打造一个稳健可靠的电商网络环境。
内容安全(AV)
最新发布
m0_66993332的博客
05-08 858
基于网络侧 识别 病毒文件,工作范围2~7层。这里的网关指的是内网和外网之间的一个关口,在此进行病毒的查杀。在深信服中就有一个EDR设备,该设备就是有两种部署,一个部署在网关,一个部署在终端设备上,能最大限度的保障网络安全。防病毒(AV) -----传统的AV防病毒的方式是对文件进行查杀。传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需要缓存文件,则将占用设备资源,并造成转发延迟。
企业防泄露如何做到安全有效
lxzn123的博客
05-07 351
经过千百次反复严格的测试,它的高稳定性能为企业提供了持久可靠的安全防护,同时还具备高度的可扩展性,免费为各种应用软件提供加密支持。随着信息时代的急速演进,企业的重要商业机密越来越多地以电子文档的形式存在。在这样的背景下,一个高效的信息防泄露解决方案成为企业的迫切需求,它不仅能够阻止信息通过U盘、电子邮件等途径的泄露,更为重要的是,它助力企业打造一套完善的信息安全防护体系。网络通讯的控制和准入网关的设置,防止了敏感信息通过网络应用、上传下载和非法外联等渠道的泄露,同时保护内网计算机不脱离企业监管。
【小迪安全2023】第61天:服务攻防-中间件安全&CVE复现&K8s&Docker&uetty&Websphere
人若无名,便可专心练剑
05-07 1130
kubernetes简称 k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。
如何安全的使用密码登录账号(在不知道密码的情况下)
yy779587715的博客
05-01 701
6、按住Alt不放,点击之后,就自动复制了账号对应的密码。这样就能在完全不知道密码的情况下(就是不用去记密码了),直接得到密码,再到需要的地方粘贴它就ok了,这样简直不能再方便再懒了┐(´∀`)┌。4、我再随机一个密码吧,显得自然些。那之前的旧密码就去下面了,不用管它了。2、看到鼠标移动到密码那一栏有提示,按住Ctrl或者Alt点击或者双击就能复制内容,这方法虽然快,但还是能看到密码。我鼠标移动到“个人QQ”那个账号上面,按住Ctrl不放,点击之后,就自动复制了账号。1、打开工具,进入账号密码模块,如图。
专业的保密网文件导入导出系统,让文件流转行为更可控安全
文件数据安全交换
05-07 1084
飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。针对上述问题,这里推荐专业的文件安全导入导出系统:如飞驰云联《Ftrans FIE文件安全导入导出系统》,为军工单位提供物理隔离条件下的文件安全导入导出解决方案,实现保密网文件导出导入申请、上传、安全检查、审核、下载等全过程一站式,提升文件流转整体效率的同时,保护重要数据资产。
2024高安全个人密码本程序源码,贴身密码管家-随机密码备忘录二代密码
pengqingwen的博客
05-08 289
我无法保证100%的安全性,这也是一个令人担忧的问题。我希望这个好的项目能被他人认可,在这个网络高度发展的时代,每个人都需要上网,而上网就不可避免地需要使用账号和密码。经过小杰的努力,网站所有参数都会进行过滤,在众多账号的情况下,你是否还在为复杂难记的密码感到烦恼?同时也是为了改变我喜欢使用旧密码的不良习惯。项目本身难度不大,但在安全方面,3、修改config.php中的数据库信息;
linux内核源码分析
05-23
Linux内核是一个非常庞大的项目,由数百万行代码组成,它是操作系统的核心部分,控制着计算机的所有硬件和软件资源。对于想要深入了解操作系统原理和内核开发的人来说,学习Linux内核源码是非常重要的。 以下是一些学习Linux内核源码的方法: 1. 官方文档:Linux内核官方提供了非常详细的文档,包括内核编译、调试、内存管理、进程管理、文件系统等方面的内容。这些文档可以帮助你快速入门,并对内核的各个方面有一个整体的了解。 2. 阅读源码:阅读Linux内核源码是学习的最好方法。你可以从一些基础的模块开始,比如进程管理、内存管理、文件系统等,逐步深入到内核的更高级别的功能模块。 3. 调试内核:通过调试内核来学习内核是非常有用的。你可以使用GDB来调试内核,并在调试过程中了解内核的工作原理和数据结构。 4. 内核开发者社区:加入内核开发者社区可以帮助你与其他内核开发者交流经验,获取代码审查和建议,并了解最新的内核开发动态。 总之,学习Linux内核源码需要耐心和毅力。通过阅读文档、阅读源码、调试内核和参与内核社区等方式,你可以逐步掌握Linux内核的工作原理和开发技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值