Win64 驱动内核编程-25.X64枚举和隐藏内核模块

最新推荐文章于 2021-04-12 20:27:26 发布
最新推荐文章于 2021-04-12 20:27:26 发布
阅读量4.6k 收藏 9
点赞数 2
分类专栏: 驱动内核编程 文章标签: 驱动 X64枚举和隐藏内核模块 枚举内核模块 隐藏内核模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/66478226
版权
本文详细介绍了在Win64环境下,如何通过ZwQuerySystemInformation的第11号功能枚举内核模块,以及利用KLDR_DATA_TABLE_ENTRY结构中的InLoadOrderLinks链表进行操作。同时,文章探讨了隐藏内核模块的通用方法,即从InLoadOrderLinks链表中移除指定驱动对象。
摘要由CSDN通过智能技术生成

X64枚举和隐藏内核模块

    在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。

X64内核模块枚举(注意是在R3

#include <stdio.h>
#include <Windows.h>

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)
(
	IN ULONG	SystemInformationClass,
	OUT PVOID	SystemInformation,
	IN ULONG	Length,
	OUT PULONG	ReturnLength
);

typedef unsigned long DWORD;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
    ULONG Unknow1;
    ULONG Unknow2;
    ULONG Unknow3;
	ULONG Unknow4;
    PVOID Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT NameLength;
    USHORT LoadCount;
    USHORT ModuleNameOffset;
    char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORM
最低0.47元/天 解锁文章
TK13
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
windows 模块隐藏【学习笔记】
lygl35的博客
03-01 268
TEB、PEB是3环的结构体 TEB的结构 PEB 的结构
VC++实现枚举进程与模块
weixin_30547797的博客
10-24 230
#pragma once #define _WIN32_WINNT 0x0500 #include"windows.h" #include"tlhelp32.h" #include"stdio.h" #include"NativeApi.h" #include"wchar.h" #include"psapi.h"//SDK6.0 #pragma comment(lib,"psapi.lib"...
[windows 驱动开发] r0 枚举进程
LYSM
04-12 544
#include "ntddk.h" typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, // 0 SystemProcessorInformation, // 1 SystemPerformanceInformation, // 2 SystemTimeOfDayInformation,
Linux x64 -- 内核程序(驱动程序)读取任意进程数据实现
weixin_30834783的博客
09-28 1170
四级页表结构 现在的64位Linux系统中,并没有使用全部的64位地址空间,而是使用其低48位,高16位并没有使用. 其中 39至47这9位用于索引PGD(page global directory),其中读取的值是PUD(page upper directory)的地址 30至38这9位用于索引PUD以获取PMD(page middle directory)的地址 21至29这9位用于索引PMD...
枚举进程模块
qq_41490873的博客
08-25 319
winternl.h中定义了PEB 和TEB typedef struct _PEB_LDR_DATA { BYTE Reserved1[8]; PVOID Reserved2[3]; LIST_ENTRY InMemoryOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA; typedef struct _LDR_DATA_TABLE_ENTRY { PVOID Reserved1[2]; LIST_ENTRY InM
Win64 驱动内核编程-31.枚举与删除映像回调
天使也掉毛
04-04 2061
枚举与删除映像回调 映像回调可以拦截RING3和RING0的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在PsSetLoadImag...
Win64 驱动内核编程-21.DKOM隐藏和保护进程
热门推荐
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
Win64 驱动内核编程-28.枚举消息钩子
墨鱼菜鸡
12-18 295
枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,鼠标钩子可以...
DLLHiding:使用 PEB 隐藏 x32x64 ModulesDLL
05-31
DLL隐藏 使用 PEB 隐藏 x32/x64 模块 ##Summary 一个简单的命令行应用程序,用于在任何 Windows 进程中隐藏 DLL。 适用于 x32 和 x64 进程。 它应该适用于从 Windows XP 到 Windows 8 的所有平台。目前仅在 Windows 7 上测试。 每个进程在 PE 块内以三个链接列表的形式维护内部加载的模块/DLL 集。 加载订单列表 内存顺序表 初始化顺序列表 ##Commands 在控制台中运行: DLLHiding32.exe "进程名称" "DLL 名称" DLLHiding64.exe "进程名称" "DLL 名称" ##Limitations 应该有效地对所有用户模式应用程序隐藏模块。 具有内核模式访问权限的应用程序可以枚举隐藏的模块,这些应用程序包括进程资源管理器,因为内核对象保持不变。 此外,用户模式应用程序可
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
驱动下Wow64栈回溯和进程模块枚举
anhkgg的专栏
09-27 2911
很久没写驱动代码,最近又摸了一下。 在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。 堆栈回溯 驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下: ULONG RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags); //Callers一个PVOID数组,保存栈中...
进程中dll模块的隐藏
xjh_Love_paopao的专栏
07-21 1540
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
枚举进程 模块 堆栈
x
10-22 339
void walkProcess() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if(hSnap == INVALID_HANDLE_VALUE) return; PROCESSENTRY32 p32; p32.dwSize = sizeof(PROCES...
Windows驱动学习笔记之三 驱动枚举进程(WIN64
iceamber2012的专栏
05-08 2204
WIN64 驱动枚举
驱动枚举
dhbzzz的专栏
04-21 3226
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved//// FileName: EnumDriver.cpp//// Author: z
Delphi内核驱动开发入门指南:NT平台详解
文档首先介绍了内核模式驱动的基本结构,区分了用户模式和内核模式的地址空间及其权限,强调了内核模式下的关键组件如运行模块(负责内存管理、进程管理等)、内核(处理线程调度和中断处理)以及设备驱动程序(硬件...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值