LDR_MODULE结构的详细定义

最新推荐文章于 2025-04-28 07:30:00 发布
最新推荐文章于 2025-04-28 07:30:00 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: 原创 文字 学习笔记 文章标签: LDR-MODULE PEB Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sky79/article/details/49819685
版权

LDR_MODULE结构的详细定义

typedef struct _LDR_MODULE {
LIST_ENTRY              InLoadOrderModuleList;//代表按加载顺序构成的模块链表
LIST_ENTRY              InMemoryOrderModuleList;//代表按内存顺序构成的模块链表
LIST_ENTRY            InInitializationOrderModuleList;//代表按初始化顺序构成的模块链表
PVOID                   BaseAddress;//该模块的基地址
PVOID                   EntryPoint;//该模块的入口
ULONG                   SizeOfImage;//该模块的影像大小
UNICODE_STRING          FullDllName;//包含路径的模块名
UNICODE_STRING          BaseDllName;//不包含路径的模块名
ULONG                   Flags;
SHORT                   LoadCount;//该模块的引用计数
SHORT                   TlsIndex;
HANDLE                  SectionHandle;
ULONG                   CheckSum;
ULONG                   TimeDateStamp;
 } LDR_MODULE, *PLDR_MODULE;
数据结构(超详细讲解!!)第二十四节 二叉树(下)
2201_76115387的博客
11-23 1725
二叉树的遍历
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程 start_kernel 函数详细分析(一)
|~~~热爱生活、努力学习的小伙汁~~~|
06-14 3020
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程
关于LDR_MODULE结构
weixin_30314813的博客
07-30 580
在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?其实弄清楚LDR_MODULE结构详细定义这些疑问也就会迎刃而解了. Code1...
一文搞懂CVE、CNNVD、NVD、CNVD这些漏洞编号!
最新发布
weixin_43172311的博客
04-28 1151
CVE、CNNVD、NVD、CNVD这些漏洞编号体系在网络安全领域都扮演着重要的角色。CVE是国际通用的标准,CNNVD和CNVD是我国为了保障国内信息安全建立的,而NVD则是美国在漏洞管理方面的平台。它们相互补充,共同为全球和我国的信息安全保障提供有力支持。以后再看到这些编号,你就不会再觉得一头雾水啦!推荐更多阅读内容当网络安全漏洞遇上风险管理:企业如何见招拆招?网络安全漏洞现状与风险管理分析揭秘网络安全:高级持续攻击的克星——流量检测与响应流程开发者的新危机:规则文件后门攻击。
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2420
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
_LDR_DATA_TABLE_ENTRY结构
weixin_41693985的博客
12-22 1412
_LDR_DATA_TABLE_ENTRY结构
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1828
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
关于LDR的疑问与探索
Night May Say
05-29 2184
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE定义:typedef struct _LDR_MODULE {
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5448
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Ldr之获取自身进程模块的软件源码
04-09
`SYSTEM_MODULE_INFORMATION`是一个自定义的数据结构,用于存储每个模块的相关信息。 ```vb Private Type SYSTEM_MODULE_INFORMATION Reserved(1) As Long Base As Long Size As Long Flags As Long Index As ...
R3抹掉加载的DLL
天使也掉毛
04-30 3928
R3抹掉加载的DLL 原理类似于获取Kernel32.dll加载地址,知道这个东西也是在看获取Kernel32.dll地址的时候在网上搜索学习资料,无意中看到的这个东西。这个挺有用,结合着HiJack的话效果会不错。思路是这样: FS--->TEB--->PEB--->PEB_LDR_DATA.InInitialzationOrderModuleList (细节偏...
Modules
BLOG域名:programb.blog.csdn.net
04-20 223
本章描述 Linux 核心如何只在需要的时候才动态加载函数,例如文件系统。 Linux 是一个完整的核心,就是说,它是一个单一的巨大的程序,核心的功能组件可以访问它的所有的内部数据结构以及例程。另一种方法是使用一个微内核的结构,核心的功能片被分成独立的单元,互相之间有严格的通讯机制。这样通过配置进程向核心增加新的组件不花多少时间。比如你希望增加一个 NCR 810 SCSI 卡的 SCSI 驱动程...
ES6 -- 数据结构Set、Map,Module语法及加载实现
weixin_33860553的博客
09-01 132
前言:ES6学习总结 好吧ES8都出来了,我还在学ES6,没事的,我皮厚~ 1、Set Set是ES6新加的一种数据结构,类似数组, Set本身是个构造函数,用来生成Set数据结构,new Set() 有个特点**成员值唯一,无重复的值(敲黑板)**,这一特性在数组去重的时候非常好用。 1.Set构造函数接受数组作为参数2.Array...
TEB,PEB,LDR结构
yeanhoo的博客
10-15 2239
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 8015
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
数据结构-结构的梳理
08-08 247
二叉树 遍历(先序DLR,中序LDR,后序LRD) 中序遍历能够确定二叉树结构 二叉排序树 左子树均小于根节点,右子树均大于根节点 平衡二叉树 平衡是指所有叶子的深度趋于平衡,更广义的是指在树上所有可能查找的均摊复杂度偏低 AVL树 自平衡的二叉查找树(通过左右旋实现平衡) 左右子树都是平衡二叉树 右旋:左节点转到根节点 左旋:右节点转到根节点 红黑树 为了提升AVL树的update维护效率引入红黑树 节点是红色和黑色 根是黑色 所有叶子都是黑色 每个红色节点必须有两个黑色的子节点
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
LDR断链 隐藏DLL(转载)
menglv_1978的专栏
08-15 1304
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 转载链接:https://blog.csdn.net/yoie01/article/details/11696295 typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumL...
PEB-------------模块链表Ldr
weixin_30316097的博客
07-30 762
一、xp下peb结构 kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutan...
teb 参数全部
03-31
### 关于 TEB 参数的完整列表及其用法 TEB(Thread Environment Block),即线程环境块,是一个重要的 Windows 数据结构,用于存储与特定线程相关的各种信息。以下是关于 TEB 的一些关键字段以及其用途: #### 1. **TEB 结构的主要组成部分** - `NtTib` (NT Thread Information Block): 存储异常处理程序链表头和其他线程相关信息。 ```c NT_TIB NtTib; ``` - `EnvironmentPointer`: 指向环境变量的指针。 ```c void* EnvironmentPointer; ``` - `ClientId`: 包含当前线程 ID 和进程 ID 的联合体。 ```c CLIENT_ID ClientId; ``` - `ActiveRpcHandle`: 当前线程正在使用的 RPC 句柄。 ```c void* ActiveRpcHandle; ``` #### 2. **其他重要字段** - `LastErrorValue`: 记录最近一次错误码。 ```c DWORD LastErrorValue; ``` - `LastStatusValue`: 上下文中最后一次调用返回的状态值。 ```c LONG LastStatusValue; ``` - `DeallocationStack`: 堆栈释放标志。 ```c PVOID DeallocationStack; ``` - `TlsSlots[]`: TLS(线程本地存储)槽数组,允许每个线程拥有独立的数据副本[^4]。 #### 3. **访问 TEB 的方式** 在用户模式下,可以通过汇编指令 `fs:[0x18]` 或者 C/C++ 中的 `_readfsdword(0x18)` 来获取当前线程的 TEB 地址。例如: ```c __declspec(naked) PVOID GetTEB() { _asm mov eax, fs:[0x18]; _asm ret; } ``` #### 4. **实际应用案例** 使用 Windbg 调试器可以方便地查看 TEB 的具体内容。例如,运行以下命令可显示当前线程的 TEB 详情: ```plaintext !teb dt ntdll!_TEB ``` --- ### 配合 PEB 进一步理解模块加载机制 虽然问题是针对 TEB 的参数列表,但提到的 PEB (Process Environment Block)也密切相关。PEB 是进程级别的全局数据结构,其中包含了 `_PEB_LDR_DATA` 成员来管理已加载模块的信息。具体来说,`_PEB_LDR_DATA` 包括三个双链表: - `InLoadOrderModuleList`: 按照模块加载顺序排列。 - `InMemoryOrderModuleList`: 按照模块在内存中的位置排列。 - `InInitializationOrderModuleList`: 按照模块初始化顺序排列[^2]。 这些链表由 `_LIST_ENTRY` 类型构成,定义如下: ```c typedef struct LIST_ENTRY { struct LIST_ENTRY *Flink; // 后继节点 struct LIST_ENTRY *Blink; // 前驱节点 } LIST_ENTRY, *PLIST_ENTRY; ``` 通过遍历上述链表即可枚举所有已加载的 DLL 文件,并提取它们的基础地址、入口点以及其他元数据。 --- ### 示例代码:遍历 InLoadOrderModuleList 获取模块基础地址 下面展示如何利用 WinDbg 查看并解析 `_PEB_LDR_DATA` 的内容: ```python import ctypes from ctypes import wintypes # 定义必要的结构体 class LDR_DATA_TABLE_ENTRY(ctypes.Structure): pass # 实际实现需填充更多字段 class LIST_ENTRY(ctypes.Structure): _fields_ = [ ("Flink", ctypes.POINTER(LIST_ENTRY)), ("Blink", ctypes.POINTER(LIST_ENTRY)) ] def enumerate_modules(peb_address): ldr_data_table = peb_address.contents.Ldr current_entry = ldr_data_table.InLoadOrderModuleList.Flink while True: entry = ctypes.cast(current_entry, ctypes.POINTER(LDR_DATA_TABLE_ENTRY)).contents base_addr = entry.DllBase if not base_addr or current_entry == ldr_data_table.InLoadOrderModuleList.Blink: break print(f"Module Base Address: {hex(base_addr)}") current_entry = current_entry.contents.Flink ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值