_LDR_DATA_TABLE_ENTRY结构体

最新推荐文章于 2023-12-29 18:32:49 发布
最新推荐文章于 2023-12-29 18:32:49 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 编程学习 内核 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41693985/article/details/128409340
版权
本文解析了Windows内核中LDR_DATA_TABLE_ENTRY的数据结构,并介绍了PsGetProcessImageFileName函数的使用,涉及进程加载信息和回调操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY64	InLoadOrderLinks;
	LIST_ENTRY64	InMemoryOrderLinks;
	LIST_ENTRY64	InInitializationOrderLinks;
	PVOID			DllBase;
	PVOID			EntryPoint;
	ULONG			SizeOfImage;
	UNICODE_STRING	FullDllName;
	UNICODE_STRING	BaseDllName;
	ULONG			Flags;
	USHORT			LoadCount;
	USHORT			TlsIndex;
	PVOID			SectionPointer;
	ULONG			CheckSum;
	PVOID			LoadeImports;
	PVOID			EntryPointActivationContext;
	PVOID			PatchInformation;
	LIST_ENTRY64	ForwarderLinks;
	LIST_ENTRY64	ServiceTagLinks;
	LIST_ENTRY64	StaticLinks;
	PVOID			ContextInformation;
	ULONG			OriginalBase;
	LARGE_INTEGER	LoadTime;
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

PsGetProcessImageFileName函数声明

NTKERNELAPI
UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);

注册例:

PLDR_DATA_TABLE_ENYRY  pldr = (PLDR_DATA_TABLE_ENYRY)driver->DriverSection;
	pldr->Flags |= 0x20;

	OB_CALLBACK_REGISTRATION ob = { 0 };
	OB_OPERATION_REGISTRATION oor = { 0 };

	UNICODE_STRING attd = { 0 };

	ob.Version = ObGetFilterVersion();
	ob.OperationRegistrationCount = 1;
	ob.OperationRegistration = &oor;
	RtlInitUnicodeString(&attd,L"321999");
	ob.RegistrationContext = NULL;




	oor.ObjectType = PsProcessType;
	oor.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
	oor.PreOperation = ProtectProcess;
	oor.PostOperation = NULL;
	status = ObRegisterCallbacks(&ob, &_HANDLE);

PreOperation例程函数:

typedef OB_PREOP_CALLBACK_STATUS
(*POB_PRE_OPERATION_CALLBACK) (
    _In_ PVOID RegistrationContext,
    _Inout_ POB_PRE_OPERATION_INFORMATION OperationInformation
    );
关于LDR的疑问与探索
Night May Say
05-29 2177
之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……关于结构LDR_MODULE的定义:typedef struct _LDR_MODULE {
4.PEB断链隐藏模块
Mikasys的博客
10-25 1660
0x4 PEB断链隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1824
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
baidu_36226689的博客
04-17 2512
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    S
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1159
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3240
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1691
    #include "stdafx.h" #include <stdlib.h> #include <Windows.h> #include <Ntsecapi.h>    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
[uboot] (番外篇)global_data介绍
热门推荐
ooonebook的博客
11-02 1万+
以下例子都以project X项目tiny210(s5pv210平台,armv7架构)为例[uboot] uboot流程系列: [project X] tiny210(s5pv210)上电启动流程(BL0-BL2) [uboot] (第一章)uboot流程——概述 [uboot] (第二章)uboot流程——uboot-spl编译流程==============================
掌握易语言技巧:隐藏动态库的源码与技术
当Windows系统加载了一个DLL文件时,它会创建一个LDR_DATA_TABLE_ENTRY结构体,并将其加入到一个全局链表中。通过修改这个链表,可以将特定的DLL条目从链表中移除或隐藏,从而达到隐藏模块的目的。 具体操作上,...
DriverObject->DriverSection结构体LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5773
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
LDR_DATA_TABLE_ENTRY结构得不到完整路径?
weixin_30381317的博客
04-05 461
PLDR_DATA_TABLE_ENTRYpLdr; pLdr->FullDllName得到的是\WINDOWS\system32\ntoskrnl.exe, 而不是一个绝对路径,跟网上说的不一样啊? 转载于:https://www.cnblogs.com/hongbin/archive/2012/04/05/2433928.html...
LDR_MODULE结构的详细定义
dozelive技术分享
11-13 2470
LDR_MODULE结构的详细定义typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList;//代表按加载顺序构成的模块链表 LIST_ENTRY InMemoryOrderModuleList;//代表按内存顺序构成的模块链表 LIST_ENTRY InIni
利用 PEB_LDR_DATA 结构枚举进程模块信息
最新发布
溡漪幽博客
12-29 2363
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
进程强杀探究
hongduilanjun的博客
03-07 2258
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
x64驱动 遍历驱动模块
LYSM
07-02 2485
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2850
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
简单地隐藏驱动分析
liujiayu2的专栏
06-30 1500
当系统加载一个驱动时,会为这个驱动建立一个_KLDR_DATA_TABLE_ENTRY结构体,DRIVER_OBJECT结构体的DriverSection成员指向这个结构体。以下是WRK中_KLDR_DATA_TABLE_ENTRY结构体的定义: typedef struct _KLDR_DATA_TABLE_ENTRY {     LIST_ENTRY InLoadOrderLinks;
win7-32、驱动模块遍历、驱动模块隐藏
Windows内核学习笔记
07-08 1027
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值