LDR_MODULE结构的详细定义

最新推荐文章于 2023-12-29 18:32:49 发布
原创 最新推荐文章于 2023-12-29 18:32:49 发布 · 2.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#LDR-MODULE #PEB #Windows

本文详细阐述了LDR_MODULE结构的定义与组成部分,包括模块链表、基地址、入口、影像大小等关键属性。

LDR_MODULE结构的详细定义

typedef struct _LDR_MODULE {
LIST_ENTRY              InLoadOrderModuleList;//代表按加载顺序构成的模块链表
LIST_ENTRY              InMemoryOrderModuleList;//代表按内存顺序构成的模块链表
LIST_ENTRY            InInitializationOrderModuleList;//代表按初始化顺序构成的模块链表
PVOID                   BaseAddress;//该模块的基地址
PVOID                   EntryPoint;//该模块的入口
ULONG                   SizeOfImage;//该模块的影像大小
UNICODE_STRING          FullDllName;//包含路径的模块名
UNICODE_STRING          BaseDllName;//不包含路径的模块名
ULONG                   Flags;
SHORT                   LoadCount;//该模块的引用计数
SHORT                   TlsIndex;
HANDLE                  SectionHandle;
ULONG                   CheckSum;
ULONG                   TimeDateStamp;
 } LDR_MODULE, *PLDR_MODULE;
关于LDR_MODULE结构
weixin_30314813的博客
07-30 595
在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?其实弄清楚LDR_MODULE结构详细定义这些疑问也就会迎刃而解了. Code1...
Windows LDR_MODULE结构体学习
bcbobo21cn的专栏
06-22 52
Windows下每个加载到进程地址空间的模块对应一个LDR_MODULE结构体,这是系统感知用户态模块存在的依据。
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2747
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
_LDR_DATA_TABLE_ENTRY结构
weixin_41693985的博客
12-22 1514
_LDR_DATA_TABLE_ENTRY结构
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1854
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
关于LDR的疑问与探索
Night May Say
05-29 2243
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE定义:typedef struct _LDR_MODULE {
ULONG_PTR GetModule64(PEPROCESS Process, PPEB peb, PUNICODE_STRING moudleName, PULONG_PTR sizeimage) { SIZE_T retSize = 0; MmCopyVirtualMemory(Process, peb, Process, peb, 0x1, UserMode, &retSize); PPEB_LDR_DATA pebldr = (peb->Ldr); 不允许指针指向不完整的类类型 "_PEB"
最新发布
09-10
- `PEB` 和 `LDR` 结构在不同 Windows 版本中布局可能不同,建议使用偏移量或动态解析。 - 如果是驱动开发,确保你是在合法上下文中访问用户空间内存。 - 调试时使用 `DbgPrint` 或调试器检查结构体内容是否正确。 ...
#ifndef configLIST_VOLATILE #define configLIST_VOLATILE #endif /* configSUPPORT_CROSS_MODULE_OPTIMISATION */ Free RTOS中的宏定义中的configLIST_VOLATILE有什么具体的作用呢
08-23
LDR R0, [R1] ; 首次读取后缓存值 ... ; 实际值已在中断中被修改 ADD R0, R0, #1; 使用过期的缓存值! ``` #### 2. **应用场景** - **中断安全**:链表操作常发生在中断服务程序(ISR)中。例如: - 任务就绪...
当前使用的内核版本是5.4.281,报错 [ 1704.342850] Call trace: [ 1704.345286] hooks_validate+0x34/0x70 [ 1704.348935] __nf_unregister_net_hook+0x128/0x198 [ 1704.353626] nf_unregister_net_hook+0x24/0x60 [ 1704.357972] _6+0x3c/0x188 [app_dpi] [ 1704.361539] __arm64_sys_delete_module+0x1b0/0x258 [ 1704.366320] el0_svc_common.constprop.2+0x7c/0x110 [ 1704.371098] el0_svc_handler+0x20/0x80 [ 1704.374835] el0_svc+0x8/0x6c0 [ 1704.377880] Code: d503201f f8617883 eb05007f 540000c0 (b9402063) 原始exit函数为 static void __exit fini(void) { #if CONFIG_APP_DPI_ENABLE int i; #endif #if LINUX_VERSION_CODE >= KERNEL_VERSION(4,13,0) #if CONFIG_APP_DPI_ENABLE nf_unregister_net_hook(&init_net, &app_dpi_hook_ops); nf_unregister_net_hook(&init_net, &app_dpi_hook_ops_v6); #endif //CONFIG_APP_DPI_ENABLE #if (CONFIG_APP_QOS_SUPPORT || WORK_FOR_SKIP_ONLY) nf_unregister_net_hook(&init_net, &app_qos_hook_ops); nf_unregister_net_hook(&init_net, &app_qos_hook_ops_v6); #endif //CONFIG_APP_QOS_SUPPORT || WORK_FOR_SKIP_ONLY #else //LINUX_VERSION_CODE #if CONFIG_APP_DPI_ENABLE nf_unregister_hook(&app_dpi_hook_ops); nf_unregister_hook(&app_dpi_hook_ops_v6); #endif //CONFIG_APP_DPI_ENABLE #if (CONFIG_APP_QOS_SUPPORT || WORK_FOR_SKIP_ONLY) nf_unregister_hook(&app_qos_hook_ops); nf_unregister_hook(&app_qos_hook_ops_v6); #endif //CONFIG_APP_QOS_SUPPORT || WORK_FOR_SKIP_ONLY #endif //LINUX_VERSION_CODE #ifdef CONFIG_APP_QOS_SUPPORT if(app_qos_dir != NULL){ proc_remove(app_qos_dir); } #endif nf_unregister_sockopt(&app_dpi_socket_option); #if CONFIG_APP_DPI_ENABLE #ifdef CONFIG_NF_CONNTRACK_CHAIN_EVENTS nf_conntrack_unregister_notifier(&init_net, &app_dpi_ct_notifier); #endif if (timer_pending(&app_dpi_timer)) { del_timer_sync(&app_dpi_timer); } for (i = 0; i < PROFILE_SIZ; ++ i) { spin_lock_bh(&profile_lock); profile_node_free(l_profiles + i); spin_unlock_bh(&profile_lock); } #endif //CONFIG_APP_DPI_ENABLE #if ENABLE_AD_GUARD cache_hashlist_clear(ad_hash); #endif #ifdef CONFIG_APP_QOS_SUPPORT spin_lock_bh(&qos_lock); cache_hashlist_clear(l_app_qos.hash); spin_unlock_bh(&qos_lock); #endif dbg("app-dpi: Remove module successed!\n"); return; } 其中hook为 static struct nf_hook_ops app_dpi_hook_ops = { .hook = app_dpi_hook, #if (LINUX_VERSION_CODE < KERNEL_VERSION(4,4,6)) .owner = THIS_MODULE, #endif .pf = PF_INET, .hooknum = NF_INET_FORWARD, .priority = NF_IP_PRI_FIRST, }; static struct nf_hook_ops app_dpi_hook_ops_v6 = { .hook = app_dpi_hook, #if (LINUX_VERSION_CODE < KERNEL_VERSION(4,4,6)) .owner = THIS_MODULE, #endif .pf = PF_INET6, .hooknum = NF_INET_FORWARD, .priority = NF_IP_PRI_FIRST, }; fini反汇编函数为 0000000000000000 <cleanup_module>: fini(): 0: a9bb7bfd stp x29, x30, [sp, #-80]! 4: 910003fd mov x29, sp 8: a90153f3 stp x19, x20, [sp, #16] c: 90000014 adrp x20, 0 <cleanup_module> 10: 91000294 add x20, x20, #0x0 14: a9025bf5 stp x21, x22, [sp, #32] 18: 90000015 adrp x21, 0 <init_net> 1c: 910002b5 add x21, x21, #0x0 20: 91020281 add x1, x20, #0x80 24: aa1503e0 mov x0, x21 28: a90363f7 stp x23, x24, [sp, #48] 2c: aa1e03f7 mov x23, x30 30: 90000013 adrp x19, 0 <cleanup_module> 34: f90023f9 str x25, [sp, #64] 38: 94000000 bl 0 <nf_unregister_net_hook> 3c: 9102a281 add x1, x20, #0xa8 40: aa1503e0 mov x0, x21 44: 91000273 add x19, x19, #0x0 48: 94000000 bl 0 <nf_unregister_net_hook> 4c: 91034281 add x1, x20, #0xd0 50: aa1503e0 mov x0, x21 54: 94000000 bl 0 <nf_unregister_net_hook> 58: aa1503e0 mov x0, x21 5c: 9103e281 add x1, x20, #0xf8 60: 94000000 bl 0 <nf_unregister_net_hook> 64: f9405260 ldr x0, [x19, #160] 68: b4000040 cbz x0, 70 <cleanup_module+0x70> 6c: 94000000 bl 0 <proc_remove> 70: 91006280 add x0, x20, #0x18 74: 94000000 bl 0 <nf_unregister_sockopt> 78: 9101a281 add x1, x20, #0x68 7c: aa1503e0 mov x0, x21 80: 94000000 bl 0 <nf_conntrack_unregister_notifier> 84: 9101c260 add x0, x19, #0x70 88: f9400401 ldr x1, [x0, #8] 8c: b4000041 cbz x1, 94 <cleanup_module+0x94> 90: 94000000 bl 0 <timer_delete_sync> 94: 90000014 adrp x20, 0 <cleanup_module> 98: 91018279 add x25, x19, #0x60 9c: 91000294 add x20, x20, #0x0 a0: 52800216 mov w22, #0x10 // #16 a4: 52800018 mov w24, #0x0 // #0 a8: d5384115 mrs x21, sp_el0 ac: b94012a0 ldr w0, [x21, #16] b0: 11080000 add w0, w0, #0x200 b4: b90012a0 str w0, [x21, #16] b8: aa1903e0 mov x0, x25 bc: 94000000 bl 0 <cleanup_module> c0: aa1403e0 mov x0, x20 c4: 94000000 bl 0 <cleanup_module> c8: 91018260 add x0, x19, #0x60 cc: 089ffc18 stlrb w24, [x0] d0: 52804001 mov w1, #0x200 // #512 d4: aa1703e0 mov x0, x23 d8: 94000000 bl 0 <__local_bh_enable_ip> dc: 910ac294 add x20, x20, #0x2b0 e0: 710006d6 subs w22, w22, #0x1 e4: 54fffe21 b.ne a8 <cleanup_module+0xa8> // b.any e8: b94012a0 ldr w0, [x21, #16] ec: 11080000 add w0, w0, #0x200 f0: b90012a0 str w0, [x21, #16] f4: 9101a260 add x0, x19, #0x68 f8: 94000000 bl 0 <cleanup_module> fc: 90000000 adrp x0, 0 <cleanup_module> 100: 91000000 add x0, x0, #0x0 104: 94000000 bl 0 <cleanup_module> 108: 9101a260 add x0, x19, #0x68 10c: 089ffc18 stlrb w24, [x0] 110: aa1703e0 mov x0, x23 114: 52804001 mov w1, #0x200 // #512 118: a94153f3 ldp x19, x20, [sp, #16] 11c: a9425bf5 ldp x21, x22, [sp, #32] 120: a94363f7 ldp x23, x24, [sp, #48] 124: f94023f9 ldr x25, [sp, #64] 128: a8c57bfd ldp x29, x30, [sp], #80 12c: 14000000 b 0 <__local_bh_enable_ip> 此问题仅在使用reboot重启时出现,单独卸载rmmod不出现。 指出对应panic位置,及最小程度的修复方案。
09-03
最小修复方案(不改变现有结构,仅做必要调整): 1. 在模块中注册一个重启通知器,在重启的早期阶段注销Netfilter钩子,并设置标志位表示已经注销。 2. 修改`fini`函数,检查是否已经注销了钩子,如果已经注销则...
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5540
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
python 64位常用module
05-08
比较常用的python模块,数据库交互,定时,redis,lxml, flask等等
Linux 内核采用模块化设计,能够根据系统需求动态加载函数和文件系统等模块,这种机制显著提升了系统的灵活性和资源利用效率
BLOG域名:programb.blog.csdn.net
04-20 357
在 Linux 系统中,动态加载模块(如文件系统模块)是一种常见的机制,用于在运行时按需加载和卸载功能,从而节省系统资源并提高灵活性。以下是 Linux 内核如何实现按需动态加载模块的详细介绍:
ES6 -- 数据结构Set、Map,Module语法及加载实现
weixin_33860553的博客
09-01 143
前言:ES6学习总结 好吧ES8都出来了,我还在学ES6,没事的,我皮厚~ 1、Set Set是ES6新加的一种数据结构,类似数组, Set本身是个构造函数,用来生成Set数据结构,new Set() 有个特点**成员值唯一,无重复的值(敲黑板)**,这一特性在数组去重的时候非常好用。 1.Set构造函数接受数组作为参数2.Array...
TEB,PEB,LDR结构
yeanhoo的博客
10-15 2324
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 8090
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
数据结构(超详细讲解!!)第二十四节 二叉树(下)
2201_76115387的博客
11-23 1765
二叉树的遍历
数据结构-结构的梳理
08-08 262
二叉树 遍历(先序DLR,中序LDR,后序LRD) 中序遍历能够确定二叉树结构 二叉排序树 左子树均小于根节点,右子树均大于根节点 平衡二叉树 平衡是指所有叶子的深度趋于平衡,更广义的是指在树上所有可能查找的均摊复杂度偏低 AVL树 自平衡的二叉查找树(通过左右旋实现平衡) 左右子树都是平衡二叉树 右旋:左节点转到根节点 左旋:右节点转到根节点 红黑树 为了提升AVL树的update维护效率引入红黑树 节点是红色和黑色 根是黑色 所有叶子都是黑色 每个红色节点必须有两个黑色的子节点
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
LDR断链 隐藏DLL(转载)
menglv_1978的专栏
08-15 1330
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 转载链接:https://blog.csdn.net/yoie01/article/details/11696295 typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值