LDR_MODULE结构的详细定义

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: 原创 文字 学习笔记 文章标签: LDR-MODULE PEB Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sky79/article/details/49819685
版权
学习笔记 同时被 3 个专栏收录
28 篇文章 1 订阅
订阅专栏
原创
9 篇文章 0 订阅
订阅专栏
文字
9 篇文章 0 订阅
订阅专栏

LDR_MODULE结构的详细定义

typedef struct _LDR_MODULE {
LIST_ENTRY              InLoadOrderModuleList;//代表按加载顺序构成的模块链表
LIST_ENTRY              InMemoryOrderModuleList;//代表按内存顺序构成的模块链表
LIST_ENTRY            InInitializationOrderModuleList;//代表按初始化顺序构成的模块链表
PVOID                   BaseAddress;//该模块的基地址
PVOID                   EntryPoint;//该模块的入口
ULONG                   SizeOfImage;//该模块的影像大小
UNICODE_STRING          FullDllName;//包含路径的模块名
UNICODE_STRING          BaseDllName;//不包含路径的模块名
ULONG                   Flags;
SHORT                   LoadCount;//该模块的引用计数
SHORT                   TlsIndex;
HANDLE                  SectionHandle;
ULONG                   CheckSum;
ULONG                   TimeDateStamp;
 } LDR_MODULE, *PLDR_MODULE;
sky79
关注
专栏目录
数据结构(超详细讲解!!)第二十四节 二叉树(下)
2201_76115387的博客
11-23 1660
二叉树的遍历
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程 start_kernel 函数详细分析(一)
|~~~热爱生活、努力学习的小伙汁~~~|
06-14 2717
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程
关于LDR_MODULE结构
weixin_30314813的博客
07-30 527
在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?其实弄清楚LDR_MODULE结构详细定义这些疑问也就会迎刃而解了. Code1...
_LDR_DATA_TABLE_ENTRY结构
weixin_41693985的博客
12-22 1027
_LDR_DATA_TABLE_ENTRY结构
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1786
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 1738
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEBPEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
关于LDR的疑问与探索
Night May Say
05-29 2080
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE定义:typedef struct _LDR_MODULE {
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 5160
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载的模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载的模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程及进程加载的模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
Ldr之获取自身进程模块的软件源码
04-09
`SYSTEM_MODULE_INFORMATION`是一个自定义的数据结构,用于存储每个模块的相关信息。 ```vb Private Type SYSTEM_MODULE_INFORMATION Reserved(1) As Long Base As Long Size As Long Flags As Long Index As ...
R3抹掉加载的DLL
天使也掉毛
04-30 3849
R3抹掉加载的DLL 原理类似于获取Kernel32.dll加载地址,知道这个东西也是在看获取Kernel32.dll地址的时候在网上搜索学习资料,无意中看到的这个东西。这个挺有用,结合着HiJack的话效果会不错。思路是这样: FS--->TEB--->PEB--->PEB_LDR_DATA.InInitialzationOrderModuleList (细节偏...
Modules
BLOG域名:programb.blog.csdn.net
04-20 202
本章描述 Linux 核心如何只在需要的时候才动态加载函数,例如文件系统。 Linux 是一个完整的核心,就是说,它是一个单一的巨大的程序,核心的功能组件可以访问它的所有的内部数据结构以及例程。另一种方法是使用一个微内核的结构,核心的功能片被分成独立的单元,互相之间有严格的通讯机制。这样通过配置进程向核心增加新的组件不花多少时间。比如你希望增加一个 NCR 810 SCSI 卡的 SCSI 驱动程...
ES6 -- 数据结构Set、Map,Module语法及加载实现
weixin_33860553的博客
09-01 105
前言:ES6学习总结 好吧ES8都出来了,我还在学ES6,没事的,我皮厚~ 1、Set Set是ES6新加的一种数据结构,类似数组, Set本身是个构造函数,用来生成Set数据结构,new Set() 有个特点**成员值唯一,无重复的值(敲黑板)**,这一特性在数组去重的时候非常好用。 1.Set构造函数接受数组作为参数2.Array...
TEB,PEB,LDR结构
yeanhoo的博客
10-15 2076
首先查看TEB所在地址 接着查看teb结构 图中,TEB结构中第一个成员为TIB结构,从偏移量可以看出从0x00到0x1C之间的内容均为TIB结构的成员,那么我们来查看TIB结构 ...
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 7738
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
数据结构-树结构的梳理
08-08 211
二叉树 遍历(先序DLR,中序LDR,后序LRD) 中序遍历能够确定二叉树结构 二叉排序树 左子树均小于根节点,右子树均大于根节点 平衡二叉树 平衡是指所有叶子的深度趋于平衡,更广义的是指在树上所有可能查找的均摊复杂度偏低 AVL树 自平衡的二叉查找树(通过左右旋实现平衡) 左右子树都是平衡二叉树 右旋:左节点转到根节点 左旋:右节点转到根节点 红黑树 为了提升AVL树的update维护效率引入红黑树 节点是红色和黑色 根是黑色 所有叶子都是黑色 每个红色节点必须有两个黑色的子节点
PEB结构块解析
liutianheng654的博客
03-22 1万+
peb结构块解析: 项目需要获取程序运行的一些状态,目前只能获取寄存器信息,故采用fs寄存器获取peb信息,本文主要探索peb中可以获得的进程信息。 windbg信息如下:win xp 下,和win7不一样,下面为xp环境dt nt!_peb +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions :
通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)
DontBeProud
09-10 2896
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEBPEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEBPEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
_PEB_LDR_DATA
最新发布
04-23
_PEB_LDR_DATA是Windows操作系统中的一个数据结构,它是PEB(Process Environment Block,进程环境块)中的一个成员。PEB是每个进程独有的数据结构,用于存储进程的运行时信息。 _PEB_LDR_DATA结构体用于管理进程加载的模块(DLL)信息。它包含了一个双向链表,用于链接所有已加载的模块。每个节点表示一个已加载的模块,包含了模块的基址、入口点等信息。 _PEB_LDR_DATA结构体的定义如下: ``` typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOID EntryInProgress; } PEB_LDR_DATA, *PPEB_LDR_DATA; ``` 其中,`InLoadOrderModuleList`表示按照模块加载顺序的链表,`InMemoryOrderModuleList`表示按照模块在内存中的顺序的链表,`InInitializationOrderModuleList`表示按照模块初始化顺序的链表。 通过_PEB_LDR_DATA结构体,可以遍历进程加载的所有模块,获取模块的基址、入口点等信息,从而实现对模块的管理和操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值