02 读GDT表、字符串操作、遍历内核模块

已于 2023-05-06 17:04:00 修改
阅读量152 收藏
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发 windows
于 2023-04-27 16:41:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130407808
版权

读取GDT表

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	pDriver->DriverUnload = DriverUnload;
	DbgPrint("load GDT table\n");

	//read gdtr
	char gdt[6];
	__asm
	{
		sgdt gdt
	}

	USHORT length = *(short*)gdt;
	UINT32 baseAddress = *(int*)&gdt[2];

	UINT32* mem = ExAllocatePoolWithTag(NonPagedPool, length, NULL);
	if (mem == NULL)
	{
		DbgPrint("内存申请失败~~\n");
	}
	else
	{
		RtlMoveMemory(mem, baseAddress,length);
		DbgPrint("\n打印数据\n");
		for (int i = 0; i < length / 4; i+=2)
		{
			DbgPrint("%08x`%08x\n", mem[i + 1], mem[i]);
		}
		ExFreePool(mem);
	}
	return STATUS_SUCCESS;
}

字符串操作

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	UNICODE_STRING ustr;
	UNICODE_STRING ustrTr;
	ANSI_STRING astr;
	ANSI_STRING astrCompare;
	ANSI_STRING astrTr;

	//init
	RtlInitUnicodeString(&ustr, L"day day up~~");
	RtlInitAnsiString(&astr, "good good study~~");
	RtlInitAnsiString(&astrCompare, "good good study~~");
	DbgPrint("Unicode : %wZ\n", &ustr);
	DbgPrint("ANSI : %Z\n", &astr);

	//compare
	BOOLEAN flag1 = RtlCompareString(&astrCompare, &astr, TRUE);
	BOOLEAN flag2 = RtlCompareString(&astrCompare, &astr, FALSE);
	DbgPrint("RtlCompareString : %d %d", flag1, flag2);

	//translate
	RtlAnsiStringToUnicodeString(&ustrTr, &astr, TRUE);
	RtlUnicodeStringToAnsiString(&astrTr, &ustr, TRUE);

	DbgPrint("%wZ\n%Z", &ustrTr, &astrTr);

	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}

为什么DISPATCH_LEVEL不能访问分页内存

分页内存在内存紧张的时候物理页会被放置到文件,如果再次访问的时候需要走缺页异常处理程序(IRQL = 1DISPATCH_LEVEL (IRQL = 2)
缺页异常处理程序无法中断DISPATCH_LEVEL,会导致蓝屏

遍历内核模块

#include <ntddk.h>

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	
	LIST_ENTRY* list = (LIST_ENTRY*)pDriver->DriverSection;
	LIST_ENTRY* current_entry = list;
	PDRIVER_OBJECT obj;

	DbgPrint("\n=====================================================\n");
	while (1)
	{
		PUNICODE_STRING name = (PUNICODE_STRING)((int)current_entry + 0x2c);
		UINT32 DllBase = *(UINT32*)((int)current_entry + 0x18);
		UINT32 ImgSize = *(UINT32*)((int)current_entry + 0x20);
		DbgPrint("DriverName : %wZ\nDllBase : %x\nImgSize : %x\n======\n", name, DllBase, ImgSize);

		current_entry = current_entry->Blink;
		if (current_entry == list)
		{
			break;
		}
	}

	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}
柠檬的泪是酸的@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【RTOS实时操作系统】IA32 多任务调度与 RTOS 微内核设计开发
【人工智障 | 计算鸡视觉 | 机器孩】
11-06 354
一、基础编程实验1 :IA32 多任务运行管理程序设计 1. 开发环境配置与源程序架构简单分析 1)硬件环境 2)软件环境 3)源程序架构分析 2. IA32多任务运行调度和任务间通信的基本原理 1)IA32多任务运行调度 2)任务间通信 3. 任务指示器和指示结果 4. 内核分时优先级调度修改方案 二、基础编程实验2:多任务微内核 OS 构建编程开发 1. Vmlinux 微内核程序开发工作原理 2. 微内核程序的理解,工程/项目模块结构分析,主要模块源程序分析说明 1)微内核...
一个操作系统的实现(4.1)建立内核雏形
wsklxyy的博客
08-30 382
主要内容 建立内核的雏形 一 extern choose ; int choose(int a, int b); [section .data] ; 数据在此 num1st dd 3 num2nd dd 4 [section .text] ; 代码在此 global _start ; 我们必须导出 _start 这个入口,以便让链接器识别 global myprint ; 导出这个函数为了让 bar.c 使用 _start: push dword [num2nd] ; `. push dw
获取全局描述符GDT的内容
Fly20141201. 的专栏
11-09 4117
/stdfx.h文件 //Ring0环的程序 //测试环境VS2005 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. #define _WIN32_WINNT 0x0501 // Change this to the appropriate
遍历IDT和GDT
Starr
12-26 885
文章目录结构体获取IDR遍历IDT 结构体 //idtr指向这个结构体 typedef struct _IDT_INFO{ UINT16 uIdtLimit; // IDT范围 UINT16 uLowIdtBase; // IDT低基址 UINT16 uHighIdtBase; // IDT高基址 }IDT_INFO, *PIDT_INFO; // IDT中...
GDT全局描述符
hxxjxw的博客
05-09 765
全局描述符GDT(Global Descriptor Table) 在整个系统中,全局描述符GDT只有一张(一个处理器对应一个GDT),GDT可以被放在内存的任何位置,但CPU必须知道GDT的入口,也就是基地址放在哪里。 Intel的设计者们提供了一个寄存器GDTR用来存放GDT的入口地址,程序员将GDT设定在内存中某个位置之后,可以通过LGDT指令将GDT的入口地址装入此寄存器,从此以后,CPU就根据此寄存器中的内容作为GDT的入口来访问GDT了。GDTR中存放的是GD...
[内核安全6]内核态Rootkit之GDT Hook
輚至消亡
12-24 513
1. 导言 GDT Hook的原理是通过修改GDT全局描述符来达到挂钩的目的。GDT的概念可以看下:IDT Hook 整个GDT Hook的原理可以归纳为如下图。 2. 代码段区分 代码段分为两种: 一致代码段 非一致代码段 数据段属于非一致代码段 首先不管一致还是非一致,同特权级代码段之间互访都是允许的。在者永远不能由高特权级代码段访问低特权级代码段,这是不允许的!因为操作系统不会允许用高特权级来访问不安全的代码。有一种情况例外就是数据段,数据段可以被更高级的
在DISPATCH_LEVEL或更高LEVEL不能使用分页内存的根本原因
weixin_33724659的博客
06-29 1662
MSDN的文档只是说不能,但没有说清楚到底为啥。 微软的Doron在他的博客里提了一下,http://blogs.msdn.com/b/doronh/archive/2010/02/02/what-is-irql.aspx,但是还是没有说的太清楚。 其实使用分页内存的时候,如果访问Swap out的内存会触发0E号异常(KiTrap0E),会间接调用MmAccessFault。出于同步要求,他...
操作系统内核的绝佳学习材料——JOS
西代零零发
06-23 1万+
操作系统内核的绝佳学习材料——JOS 前言:关于JOS和一些经验之谈 这一学期的操作系统课使用的是MIT用于教学的JOS操作系统,并且StonyBrook在其基础上做了大量改动,最重要的变化就是从32位移植到了64位。因为个人之前曾系统学习过Linux 0.11内核(《操作系统内核Hack:(四)内核雏形》,实现到时钟中断部分停下了),深知自己从零开始实现内核的工作量。即便是如我个人实
计算机操作系统原理复习笔记——考试版
weixin_43809624的博客
12-03 1600
计算机操作系统 文章目录计算机操作系统第一章 绪论1.1 操作系统与计算机体系结构的关系1.2 操作系统的形成与发展1.3 操作系统的定义1.4 操作系统的资源管理功能1.5 操作系统的基本类型第二章 操作系统的结构和硬件支持2.1 操作系统虚拟机2.2 操作系统的结构2.3 处理机的特权级2.4 中断及其处理第三章 操作系统的用户接口3.1 用户工作环境3.2 应用程序的处理3.3 用户接口3.4 系统功能调用第四章 进程及进程管理4.1 进程的引入4.2 进程概念4.3 进程控制4.4 进程之间的约束关
《一个操作系统的实现》总结1——启动流程
Pandoras Box
05-02 2168
注:文中的代码是在ORANGE源码(最后一个版本chapter10\e\kernel)的基础上所添加的注解,以 /*** ***/ 为标注,主要是一些重要文件和比较难理解的地方做了注解。   由于回车或字符大小原因一些图在网页上的显示可能不是很准确,可以复制到本机看。   另外,CSDN的编辑器有点shi,整篇发有错误,因此拆成了三份,本意是一整篇文章。   在操作系统正式
windbg查看GDT的基址和长度 段描述符查分实验 段选择子拆分实验
最新发布
日志
09-28 1139
1.在windbg中查看GDT的基址和长度 2.分别使用dd dq指令查看GDT 3.段描述符查分实验 拆5个 4.段选择子拆分实验 追加练习 使用LES,LDS等指令修改段寄存器
在winxp环境下,用windbg查看GDT、IDT、TSS描述符
mengzhongfeixueyi的博客
09-19 5380
转载请注明出处:http://blog.csdn.net/mengzhongfeixueyi/article/details/78033244 一开始什么都不会,不知道如何下手,看ppt上面有个kd>,都不知道kd怎么出来的,自己打开windbg照着网上的选择attach to ……,随便找了个进程打开也不是kd开头的。网上搜索了一圈,才觉得查看GDT、IDT、TSS这些应该是属于内核调
遍历IDT和分析GDT结构
93Storm
12-26 3043
//头文件IDT_GDT.h #include"basetsd.h" /* *IDT寄存器结构 *IDTR寄存器共有48位,高32位是IDT的基地址,低16位是IDT的长度(Limit) *IDT示一张位于物理内存中的线性,共有256个项。 */ typedef struct _IDT_INFO{ UINT16 uIdtLimit; UINT16 uLowIdtBa
GDT与LDT
热门推荐
08-24 2万+
(1)全局描述符GDT(Global Descriptor Table)在整个系统中,全局描述符GDT只有一张(一个处理器对应一个GDT),GDT可以被放在内存的任何位置,但CPU必须知道GDT的入口,也就是基地址放在哪里,Intel的设计者门提供了一个寄存器GDTR用来存放GDT的入口地址,程序员将GDT设定在内存中某个位置之后,可以通过LGDT指令将GDT的入口地址装入此积存器,从此以后,CPU就根据此寄存器中的内容作为GDT的入口来访问GDT了。GDTR中存放的是GDT在内存中的基地址和其长界限
windbg可以查看GDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-28 3793
命令: dg 功能: 显示指定的段描述符信息 示例: 显示一个 0:003> dg 0x18 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl
自己动手写操作系统 实模式到保护模式 GDT
计算机的自我意识
04-11 3564
pmtest1.asm ; pmtest1.asm ; 编译方法:nasm pmtest1.asm -o pmtest1.com ; ========================================== %include "pm.inc" ; 常量, 宏, 以及一些说明 org 0100h jmp LABEL_BEGIN [SECTION .gdt] ; GDT ;
GDT(全局描述符)和LDT(局部描述符
远方的专栏
08-16 1万+
Home > GDT(全局描述符)和LDT(局部描述符) 每个程序都有自己的LDT,但是同一台计算机上的所有程序共享一个GDT。LDT描述局部于每个程序的段,包括其代码、数据、堆栈等。GDT描述系统段,包括操作系统本身。 ①全局描述符GDT(Global Descriptor Table)在整个系统中,全局描述符GDT只有一张(一个处理器对应一个GDT),GDT
GDT
lindorx的博客
04-20 9936
gdt在x86架构中用来存储内存的分段信息,通过段选择子进行访问,的大小=0x10000=65536字节,每个项占8字节,第一个项为空,不使用,因此一共有8191个可用项。项结构如下 (图片来自https://blog.csdn.net/yeruby/article/details/39718119) 其中段限长决定了这个段的大小,总共占用20bit,最小单位由G位决定,...
Linux内核启动揭秘:msg_loop中的字符串与实/保护模式转换
在《关于msg_loop输出的字符串 - Linux内核源代码导 - 陈香兰 - 基于x86的Linux 2.6.26的启动》这篇文章中,作者陈香兰探讨了Linux内核启动过程,特别是针对I386架构的细节。文章首先回顾了编译得到的bzImage结构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值