关于LDR_MODULE结构

最新推荐文章于 2024-05-24 21:52:30 发布
最新推荐文章于 2024-05-24 21:52:30 发布
阅读量499 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/cmleung/archive/2009/09/18/1568978.html
版权
      在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?
      其实弄清楚LDR_MODULE结构的详细定义这些疑问也就会迎刃而解了. 
ContractedBlock.gif ExpandedBlockStart.gif Code
 1 typedef struct _LDR_MODULE {
 2 
 3   LIST_ENTRY              InLoadOrderModuleList;
 4   LIST_ENTRY              InMemoryOrderModuleList;
 5   LIST_ENTRY              InInitializationOrderModuleList;
 6   PVOID                   BaseAddress;
 7   PVOID                   EntryPoint;
 8   ULONG                   SizeOfImage;
 9   UNICODE_STRING          FullDllName;
10   UNICODE_STRING          BaseDllName;
11   ULONG                   Flags;
12   SHORT                   LoadCount;
13   SHORT                   TlsIndex;
14   LIST_ENTRY              HashTableEntry;
15   ULONG                   TimeDateStamp;
16 
17 } LDR_MODULE, *PLDR_MODULE;
18 

      其相关成员的描述如下:
InLoadOrderModuleList:
      Pointers to previous and next LDR_MODULE in load order.
InMemoryOrderModuleList:
      Pointers to previous and next LDR_MODULE in memory placement order.
InInitializationOrderModuleList:
      Pointers to previous and next LDR_MODULE in initialization order.
BaseAddress:
     Module Base address known also as HMODULE.
     可以用以下图例来说明此结构:
      
   
      由该图可知,三个链表结构被PEB_LDR_DATA和LDR_MODULE结构共用. 知道了这些,再看上文给出的获取kernel32.dll模块加载地址的代码就很明了了.  

转载于:https://www.cnblogs.com/cmleung/archive/2009/09/18/1568978.html

weixin_30314813
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LDR.rar_LDR_arm ldr_ldr arm
09-22
ARM LDR指令和LDR伪指令的总结,搞ARM的朋友建议看看!
LDR_MODULE结构的详细定义
dozelive技术分享
11-13 2323
LDR_MODULE结构的详细定义typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//代表按加载顺序构成的模块链表 LIST_ENTRY InMemoryOrderModuleList;//代表按内存顺序构成的模块链表 LIST_ENTRY InIni
LDR_HomeHome_socket_
10-03
ldr systen for home and car
LDR.zip_Dark_LDR_light sensor
09-22
LDRs or Light Dependent Resistors are very useful especially in light/dark sensor circuits.
DLL装载的实现
For Geek
05-11 1365
Dll装载的实现 Dll装载主要由LdrInitializeThunk函数实现,具体如下 typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//链表 LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; PVOI...
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 7513
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
基于内存取证进行stuxnet 病毒分析(上)
weixin_46286477的博客
11-17 1437
基于内存取证进行stuxnet 病毒分析(上) stuxnet病毒翻译过来又叫震网病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒。主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘,打印机等进行传播,无需借助网络连接。通过提权的操作可以进行对其设备发送命令,造成严重的破坏。 下面本文从内存取证的角度对震网病毒进行分析。 1.扫描进程之间的关系 前提知识:一个普通的 Windows XP 安装只有一个 Lsass.exe 实例,Winlogon 进程在系统启动时创建它。 下面使用volat
Volatility取证分析工具使用
xlsj雪松的博客
08-08 8171
1 基本使用与详情 首先查看它都有什么命令: 它有丰富的插件命令,可以完成大量的工作。 比如以下常用插件命令: Pslist 枚举系统中的进程。 Pstree 以树的形式枚举系统中的进程。 Modscan 扫描_ldr_data_table_entry对象的物理内存。 Kpcrscan 查找内存中用于定义内核处理器控制区域(KPCR)的_KPCR结构体信息。 Dlllist 显示...
恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器
清图出版
05-13 9130
基本信息 作者: (美)Michael Hale Ligh    Steven Adair    Blake Hartstein    Matthew Richard   译者: 胡乔林 钟读航 丛书名: 安全技术经典译丛 出版社:清华大学出版社 ISBN:9787302274407 上架时间:2012-2-8 出版日期:2012 年1月 开本:16开 页码:584
Volatility内存分析工具 - 某即时通讯软件Windows端数据库密钥的分析
m0_37779785的博客
02-01 1624
介绍了一种使用Volatility从内存镜像中分析某即时通讯软件Windows端数据库密钥的方法。
LDR_ARDUINO_1_arduino_
09-30
ldr arduino 1 test okkkkkkkkkkkkkk
LDR.rar_LDR
09-23
programa en C muy sencillo en el que mediante un sensor de luz encendemos una serie de diodos LED en función de la intensidad de luz que capta el sensor
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)
DontBeProud
09-10 2760
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEB,PEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEB、PEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
数据结构-树结构的梳理
08-08 195
二叉树 遍历(先序DLR,中序LDR,后序LRD) 中序遍历能够确定二叉树结构 二叉排序树 左子树均小于根节点,右子树均大于根节点 平衡二叉树 平衡是指所有叶子的深度趋于平衡,更广义的是指在树上所有可能查找的均摊复杂度偏低 AVL树 自平衡的二叉查找树(通过左右旋实现平衡) 左右子树都是平衡二叉树 右旋:左节点转到根节点 左旋:右节点转到根节点 红黑树 为了提升AVL树的update维护效率引入红黑树 节点是红色和黑色 根是黑色 所有叶子都是黑色 每个红色节点必须有两个黑色的子节点
通过PEB的Ldr枚举进程内所有已加载的模块
cqyczj的专栏
04-25 1309
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY   二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleLi
R3 下动态加载的模块的保护(一)
溡漪幽博客
02-03 680
在 R3 下防护动态加载的模块不被意外卸载需要很多的策略,比如:LDR 断链、VAD 记录擦除、PE 头擦除、修改入口函数、内存注入等。文本我们将浅析模块静态化技术这一项技术。模块静态化是一个很常见的模块保护技术,它通过修改模块的引用计数为 -1,来使得模块不可被标准的 API 成功卸载。系列文章:R3 下动态加载的模块的保护(一):分析模块伪静态化技术 [本文]R3 下动态加载的模块的保护(二):分析重映射擦除 VAD 信息[暂未发布]更多 ... ...文本浅析模块静态化技术这一项技术。
利用LdrLoadLibrary加载与隐藏DLL (绕过API HOOK LoadLibrary)
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
力扣230. 二叉搜索树中第K小的元素
最新发布
LNsupermali的博客
05-24 223
力扣230. 二叉搜索树中第K小的元素
_PEB_LDR_DATA
04-23
_PEB_LDR_DATA是Windows操作系统中的一个数据结构,它是PEB(Process Environment Block,进程环境块)中的一个成员。PEB是每个进程独有的数据结构,用于存储进程的运行时信息。 _PEB_LDR_DATA结构体用于管理进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值