linux下获取模块基址,驱动学习十三(获取内核模块名和基址)

最新推荐文章于 2022-10-20 15:54:38 发布
最新推荐文章于 2022-10-20 15:54:38 发布
阅读量565 收藏 1
点赞数
文章标签: linux下获取模块基址

#include "ntddk.h"

#include

typedef enum _SYSTEM_INFORMATION_CLASS

{

SystemModuleInformation = 11,

} SYSTEM_INFORMATION_CLASS;

typedef struct _SYSTEM_MODULE_INFORMATION

{

ULONG Reserved[2];

PBYTE Base;

ULONG Size;

ULONG Flags;

USHORT Index;

USHORT Unknown;

USHORT LoadCount;

USHORT ModuleNameOffset;

CHAR ImageName[256];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _SYSTEM_MODULE_INFO_LIST

{

ULONG ulCount;

SYSTEM_MODULE_INFORMATION smi[1];

} SYSTEM_MODULE_INFO_LIST, *PSYSTEM_MODULE_INFO_LIST;

extern"C"NTSTATUS __stdcall ZwQuerySystemInformation(

SYSTEM_INFORMATION_CLASS SystemInformationClass,

PVOID SystemInformation,

ULONG SystemInformationLength,

PULONG ReturnLength

);

// 获取kernel模块的信息

NTSTATUS GetKernelModuleInfo(PSYSTEM_MODULE_INFORMATION pSysModInfo)

{

NTSTATUS status = STATUS_UNSUCCESSFUL;

PSYSTEM_MODULE_INFO_LIST pSysModInfoList = NULL;

ULONG ulLength = 0;

status = ZwQuerySystemInformation(SystemModuleInformation, pSysModInfoList, ulLength, &ulLength);

if(status != STATUS_INFO_LENGTH_MISMATCH)

{

return STATUS_UNSUCCESSFUL;

}

pSysModInfoList = (PSYSTEM_MODULE_INFO_LIST)ExAllocatePool(NonPagedPool, ulLength);

if(NULL == pSysModInfoList)

{

return STATUS_UNSUCCESSFUL;

}

status = ZwQuerySystemInformation(SystemModuleInformation, pSysModInfoList, ulLength, &ulLength);

if(!NT_SUCCESS(status))

{

ExFreePool(pSysModInfoList);

return STATUS_UNSUCCESSFUL;

}

memcpy(pSysModInfo->ImageName,pSysModInfoList->smi[0].ImageName,sizeof(char)*256);

pSysModInfo->Base=pSysModInfoList->smi[0].Base;

ExFreePool(pSysModInfoList);

return STATUS_SUCCESS;

}

void DriverUnload(PDRIVER_OBJECT pDeviceObject)

{

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pUnicodeString)

{

PSYSTEM_MODULE_INFORMATION info={0};

pDriverObject->DriverUnload=DriverUnload; //设置卸载例程

info = (PSYSTEM_MODULE_INFORMATION)ExAllocatePool(NonPagedPool, sizeof(SYSTEM_MODULE_INFORMATION));

GetKernelModuleInfo(info);

DbgPrint("内核文件名:%s 基址:%08x\n",info->ImageName,info->Base);

ExFreePool(info);

return STATUS_SUCCESS;

}

b9558962a71771705aa4a02fa6095744.png

rubben peng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS逆向【Hopper 和 LLDB配合使用】(查看模块偏移后的基地址、添加断点、操作寄存器的值)及LLDB的常用命令
iOS逆向与安全
10-17 2万+
前言Hopper 是一种适用于 OS X 和 Linux 的逆向工程工具,可以用于反汇编、反编译和调试 32位/64位英特尔处理器的 Mac、Linux、Windows 和 iOS 可执行程序!LLDB是Low Level Debugger的简称,在iOS开发的调试中LLDB是经常使用的,LLDB是Xcode内置的动态调试工具。使用LLDB可以动态的调试你的应用程序,如果你不做其他的额外处理,因为d
易语言模块基址获取
07-21
易语言是一种专为中国人设计的编程语言,它...通过分析和理解这些源码,你可以更深入地学习和应用易语言的模块基址获取技术。不过,实际使用时,还需要注意权限问题以及安全编码原则,避免引起程序崩溃或其他安全风险。
获取linux内核基址,Linux内核漏洞利用技术:覆写modprobe_path
weixin_34162253的博客
04-30 327
0x00 前言如果大家阅读过我此前发表的Linux内核漏洞利用的相关文章,可能会知道我们最近一直在学习这块内容。在过去的几周里,我的团队参加了DiceCTF和UnionCTF比赛,其中都包括了Linux内核PWN题目。凭借我有限的知识,在比赛过程中没有解出这类题目。但是通过阅读其他优秀CTF团队和成员的文章,我发现他们很多人都在使用一种相似的技术,这样一来在使用Payload时就完全不需要经历调用...
ios获取内存镜像模块基址
翻滚吧骚年
09-21 4850
参考: https://developer.apple.com/library/ios/documentation/System/Conceptual/ManPages_iPhoneOS/man3/dyld.3.html http://gslab.qq.com/article-42-1.html #include #include intptr_t _dyld_get_
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6347
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
获取指定进程的加载基址
m0_46135508的博客
07-13 3737
背景之前,自己写过一个进程内存分析的小程序,其中,就有一个功能是获取进程在内存中的加载基址。由于现在Windows系统引入了ASLR (Address Space Layout Randomization)机制,加载程序时候不再使用固定的基址加载。VS默认是开启基址随机化的,我们也可以设置它使用固定加载基址。至于什么是ASLR?或者ASLR有什么作用?本文就不深入探讨了,感兴趣的,可以自己私下了解了解。 本文就是开发这样的一个小程序,使用两种方法来获取获取指定进程的加载基址...
易语言源码易语言模块基址获取源码.rar
03-31
2. **获取模块信息**:通过“进程模块列表”命令,可以获取到进程中所有已加载模块的信息,包括模块称和基址。返回的结果是一个表结构,从中可以找到目标模块基址。 3. **筛选目标模块**:根据模块称,遍历...
易语言取模块基址
07-21
这可能需要用到`EnumProcessModules`和`GetModuleInformation`等API,通过循环遍历并获取每个模块基址和其他信息。 “读模块基址”则是指在获取基址后,进一步读取该地址处的数据。这通常与内存操作有关,可能...
易语言-内核级过TX驱动模块源码 +最新CF基址
07-02
借着 易语言我吃了 开源的驱动源码 使用 白月工程 成功的写出驱动文件并可以应用到实际软件上,经测试做成的驱动模块可以直接对TX保护的游戏进行内存读写,功能非常强大! 而且模块支持XP WIN7 32位系统 不支持64位 ...
易语言源码易语言取模块基址源码.rar
02-18
在易语言中,“取模块基址”是获取程序模块(如动态链接库DLL或可执行文件EXE)在内存中的起始地址的操作,这对于理解和调试程序,或者进行系统级编程是非常重要的。下面我们将深入探讨易语言源码中如何实现取模块...
驱动编程,通过驱动获取驱动模块地址
追逐光芒,追随内心
10-28 479
//功能:模块称,地址 ULONG64 GetDirverBase(char* drivername) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(11, &size, NULL, &amp..
c语言取程序内部模块基址
H888001的博客
08-19 3705
#include "stdafx.h" #include <windows.h> #include <tlhelp32.h> #include <stdio.h> #include <iostream> //取进程id DWORD GetProcessIDByName(const char* pName) { HANDLE hSnaps...
获取未导出的内核函数地址
09-10 2063
使用未导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出的函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 314
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
获取自身驱动模块地址和大小长度
追逐光芒,追随内心
10-28 557
//功能:模块基址,模块大小 VOID GetKernelModuleBase(PULONG64 KrnlBase, PULONG64 KrnlSize) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(.
获取linux内核基址,LInux内核如何获取基址和段长度
weixin_32199769的博客
04-30 350
引题:0.11内核版本代码在do_exit函数中需要获取段的基址和长度free_page_tables (get_base (current->ldt[1]), get_limit (0x0f));free_page_tables (get_base (current->ldt[2]), get_limit (0x17));这两个函数中调用了get_base 和get_limit 这两...
linux 查看内核有哪些模块 lsmod等等
dianqicyuyan的博客
01-19 1874
Linux 内核模块查看命令 https://blog.csdn.net/zwmnhao1980/article/details/81029038?ops_request_misc=&request_id=&biz_id=102&utm_term=linux%E6%9F%A5%E7%9C%8B%E6%A8%A1%E5%9D%97&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~defau
通过PEB获取模块基址
whatday的专栏
09-24 1377
TEB偏移0x30处,即FS:[0x30]地址处保存着一个指针,指向PEB,PEB结构的偏移0xC处保存着另外一个指针ldr,该指针执行PEB_LDR_DATA PEB结构 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001*/ UCHAR ReadImageFileExecOptio...
Linux 内核模块API之find_module
小立仔
10-20 582
Linux 内核模块API:find_module 的简单使用
vb.net中怎么通过进程句柄获取模块基址
最新发布
08-15
在VB.NET中,可以通过使用Process类的帮助方法和属性来获取进程句柄,并进而获取模块基址。 首先,我们需要引入System.Diagnostics命空间,以便能够使用Process类。然后,可以使用Process.GetProcessesByName方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值