ZwQuerySystemInformation 枚举驱动模块

最新推荐文章于 2022-10-17 08:47:02 发布
最新推荐文章于 2022-10-17 08:47:02 发布
阅读量590 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/ktr39/p/3494733.html
版权

在R0下利用ZwQuerySystemInformation 查 SystemModuleInformation 来枚举驱动模块

代码如下:

////
//        rootkit.h
////
#define ULONG unsigned long
#define PULONG unsigned long *
#define PVOID void *
#define USHORT unsigned short

#define SystemModuleInformationClass  11

typedef struct
{
    PVOID section;
    PVOID MappedBase;
    PVOID ImageBase;
    ULONG ImageSize;
    ULONG Flags;
    USHORT LoadOrderIndex;
    USHORT InitOrderIndex;
    USHORT LoadCount;
    USHORT PathLength;
    char ImageName[MAXIMUM_FILENAME_LENGTH];

}SYSTEM_MODULE,*PSYSTEM_MODULE;

typedef struct
{
    ULONG ModuleCount;
    SYSTEM_MODULE Module[0];    
}SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION;



NTKERNELAPI NTSTATUS ZwQuerySystemInformation(
        ULONG SystemInformationClass,
        PVOID SystemInformation,
        ULONG SystemInformationLength,
        PULONG ReturnLength OPTIONAL
);


 

#include "ntddk.h"
#include "rootkit.h"



void OnUnload(PDRIVER_OBJECT pDriverObj)
{
    DbgPrint("Driver is Unload!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pRootkitObj,PUNICODE_STRING pRegistPath)
{
    NTSTATUS ntStatus;
    ULONG count;
    ULONG BufferSize=0;

    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation=NULL;
    PSYSTEM_MODULE pSystemModule=NULL;

    pRootkitObj->DriverUnload=OnUnload;

    ZwQuerySystemInformation(SystemModuleInformationClass,NULL,0,&BufferSize);
    pSystemModuleInformation=(PSYSTEM_MODULE_INFORMATION) ExAllocatePool(PagedPool,BufferSize);
    if(pSystemModuleInformation==NULL)
    {
        DbgPrint("ExAllocatePool failed!\n");
        return STATUS_UNSUCCESSFUL;
    }
    ntStatus=ZwQuerySystemInformation(SystemModuleInformationClass,pSystemModuleInformation,BufferSize,NULL);
    if(!NT_SUCCESS(ntStatus))
    {
        DbgPrint("ZwQuerySystemInformation failed!\n");
        ExFreePool(pSystemModuleInformation);
        return ntStatus;
    }
    
    pSystemModule=pSystemModuleInformation->Module;

    for(count=0;count<pSystemModuleInformation->ModuleCount;count++)
    {
        DbgPrint("LoadIndex=%d        \tImageBase=0x%08X        \tImageSize=0x%08X        \tImageName=%s\n",
            pSystemModule[count].LoadOrderIndex,
            pSystemModule[count].ImageBase,
            pSystemModule[count].ImageSize,
            pSystemModule[count].ImageName);

    }

    
    return STATUS_SUCCESS;
}

 

转载于:https://www.cnblogs.com/ktr39/p/3494733.html

weixin_30566063
关注
Win64 驱动内核编程-25.X64枚举和隐藏内核模块
天使也掉毛
03-26 4727
X64枚举和隐藏内核模块     在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。 X
遍历内核驱动模块
HXC_HUANG的博客
03-05 5381
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
e语言-枚举驱动模块源代码
08-23
资源介绍:getsystemdrive枚举驱动源代码,驱动调试例程资源作者:易语言模块源码下载资源界面:.版本 2 .程序集 程序集1 .子程序 _启动子程序, 整数型, , 请在本子程序中放置易模块初始化代码 _临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码 返回 (0)  ' 可以根据您的需要返回任意数值 .子程序 _临时子程序 ' 本名称子程序用作测试程序用,仅在开发及调试环境中有效,编译发布程序前将被系统自动清空,请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。 .子程序 getsystemdrive, 逻辑型, 公开 .参数 数组, 文本型, 数组 .参数 数组个数, 整数型 .参数 驱动地址, 文本型, 可空 数组 .局部变量 lpImageBase, 整数型, , "0" .局部变量 lpcbNeeded, 整数型, , "0" .局部变量 a, 整数型 .局部变量 文本, 文本型 数组清零 (lpImageBase) 重定义数组 (lpImageBase, 假, 数组个数) '  EnumDeviceDrivers (lpImageBase, 数组个数, lpcbNeeded) 文本 = 取空白文本 (数组个数) .计次循环首 (取数组成员数 (lpImageBase), a)     GetDeviceDriverBaseName (lpImageBase [a], 文本, 数组个数)     .判断开始 (lpImageBase [a] ≠ 0)         加入成员 (驱动地址, 取十六进制文本 (lpImageBase [a]))         加入成员 (数组, 文本)     .默认         '      .判断结束 .计次循环尾 () 返回 (真)资源下载:
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1334
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
函数ZwQuerySystemInformation小结
06-05 395
该函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3与ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。关于SSDT技术以后会讲解到。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTST
1.driverbase-枚举进程,枚举模块,操作注册表随手代码
hgy413的专栏
07-15 2876
#include #include #define SystemModuleInformation 11 #define SystemProcessesAndThreadsInformation 5 //要以编程的角度去理解代码,而不是以内核层或者应用层调度 //就当成是应用层的 SYSTEMTIME typedef struct _SYSTEM_PROCESSES { ULONG
android 枚举运行进程,用ZwQuerySystemInformation枚举进程
weixin_35060251的博客
05-28 139
#include #define SystemProcessesAndThreadsInformation 5NTKERNELAPI NTSTATUS ZwQuerySystemInformation(IN ULONG SystemInformationClass, // SYSTEM_INFORMATION_CLASSIN OUT PVOID SystemInformation, //需要_SY...
关于未公开函数ZwQuerySystemInformation的使用
行者无疆的专栏
07-16 1万+
最近看一些关于内核方面的资料,碰到未公开函数,未能在微软官方找到答案,从网上了解到一些信息,摘录下来备用。       我看到驱动程序调用的一段代码的使用: ULONG GetModuleBase(PCHAR szModuleName) { ULONG uSize = 0x10000; PVOID pModuleInfo = ExAllocatePoolWithTag(NonP
微软未公开函数ZwQuerySystemInformation的使用方法(vb编程专用)
08-18
接下来,我们将详细介绍`SYSTEM_INFORMATION_CLASS`枚举类型,这将帮助我们理解如何使用`ZwQuerySystemInformation`函数来获取各种系统信息。 - `SystemBasicInformation`:基本系统信息,例如系统类型、页面大小等...
驱动开发:内核枚举驱动内线程(答疑篇)
CSDN
10-17 9278
这篇文章比较特殊,是一篇穿插答疑文章,由于刚好在前一篇教程`《驱动开发:内核枚举PspCidTable句柄表》`整理了枚举句柄表的知识点,正好这个知识点能解决一个问题,事情是这样的有一个粉丝求助了一个问题,想要枚举驱动中活动的线程信息,此功能我并没有尝试过当时也只是说了一个大致思路,今天想具体聊一聊这个话题,也想聊一聊自己对粉丝们的想法。
易语言-用NtQuerySystemInformation函数暴力枚举驱动
06-29
易代码出于本人之手,另附VB代码注释,VB代码非原创,2年前从看雪某个角落瞄出来翻译的[因为我个人非常喜欢把各种语言互相转换- -],一直把这个功能集成在自己的私人模块里,今天拿出来与大家分享. 因为原代码申请内存释放内存用了自己写的内存控制函数[这个暂且不发了,sorry],我已经换为易语言自己的申请内存[注意,我没有释放],释放内存这些请自行解决,否则查询易论坛,一抓一大把.否则将导致内存大量浪费- -这个你懂的.不过不是经常调用也无所谓, lms520
应用层枚举并控制(禁用/启用等)指定硬件设备
07-30
应用层控制电脑设备,默认为鼠标设备,如果需要控制其它设备可在源码更改通过传入设备硬件id及控制指令来对设备进行控制。已封装成dll可直接使用,源文件和头文件也附在里面。
易语言R3层枚举内核模块源码 同IS
06-25
易语言R3层枚举内核模块源码 同IS 其实很简单 看完会觉得被忽悠了
驱动开发:内核中枚举进线程与模块
热门推荐
CSDN
10-14 1万+
内核枚举进程使用`PspCidTable` 这个未公开的函数,它能最大的好处是能得到进程的EPROCESS地址,由于是未公开的函数,所以我们需要变相的调用这个函数,通过`PsLookupProcessByProcessId`函数查到进程的EPROCESS,如果`PsLookupProcessByProcessId`返回失败,则证明此进程不存在,如果返回成功则把EPROCESS、PID、PPID、进程名等通过DbgPrint打印到屏幕上。
【旧文章搬运】ZwQuerySystemInformation枚举进线程信息
weixin_30648963的博客
12-26 296
原文发表于百度空间,2008-10-15========================================================================== 很古老的东西了,写一写,权当练手吧.本来以为没什么难度,很科普很傻瓜的东西,但是写的时候还是遇到一些问题,进程信息正确,得到的线程信息总是不正确,后来分析了一下,发现这个ntdll sdk中定义的进程信息结构...
VC++实现枚举进程与模块
我的编程之旅
01-01 1143
[cpp] view plaincopyprint? #pragma once  #define _WIN32_WINNT 0x0500   #include"windows.h"  #include"tlhelp32.h"  #include"stdio.h"  #include"NativeApi.h"  #include"wchar.h"  #include"
ZwQuerySystemInformation 用来枚举内核模块
lif12345的专栏
03-04 1537
ZwQuerySystemInformation 用来枚举内核模块
Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)
时空之中的灵魂
10-14 2116
1.原型 NTSTATUS ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength); SystemInformationClass查询的系统信...
ZwQuerySystemInformation枚举内核模块及简单应用
创造神话,实现梦想!
08-14 4517
简单说,即调用第11号功能,枚举一下内核中已加载的模块。 部分代码如下: //功能号为11,先获取所需的缓冲区大小 ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&needlen); //申请内存 ZwA
Windows 驱动线程获取模块
最新发布
06-12
获取 Windows 驱动程序中的模块可以使用 PsLoadedModuleList 来实现。PsLoadedModuleList 是一个指向系统中所有已加载模块的链表头的指针,可以通过遍历该链表来获取每个模块的基址、大小、文件名等信息。以下是获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值