x64 驱动测试用户是否共享内核空间 和内核模块遍历

于 2022-11-06 08:54:46 发布
阅读量212 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127707525
版权

windows10 x64 驱动测试

在任意内核空间存放 ULONG x = 0x123456;

NTSTATUS DriverUnload(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("Driver Exit \r\n");
	return STATUS_SUCCESS;

}
ULONG x = 0x123456;
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Regedit)
{
	DbgPrint("Driver Load \r\n");
	
	DbgPrint("x = %p\n",&x);

	//HideThread("Project3.exe");
	DriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

#x的内核地址为:fffff8052b103000 ##在附加任何用户程序的process地址 可以查看到 fffff8052b103000 00123456

kd> .process ffffbf0f64cac080
kd> dd ffffF8052B103000
fffff805`2b103000  00123456  00000000 604e4127 00000965
fffff805`2b103010  9fb1bed8 fffff69a 00000000 00000000
fffff805`2b103020  00000000 00000000 00000000 00000000
fffff805`2b103030  00000000 00000000 00000000 00000000
fffff805`2b103040  00000000 00000000 00000000 00000000
fffff805`2b103050  00000000 00000000 00000000 00000000
fffff805`2b103060  00000000 00000000 00000000 00000000
fffff805`2b103070  00000000 00000000 00000000 00000000

fffff805`2b103000 00123456 表明了还是共享内核空间

windows10 x64 内核模块遍历

kd> dt _DRIVER_OBJECT FFFFBF0F66179950
nt!_DRIVER_OBJECT
   +0x000 Type             : 0n4
   +0x002 Size             : 0n336
   +0x008 DeviceObject     : (null) 
   +0x010 Flags            : 0x12
   +0x018 DriverStart      : 0xfffff805`2b120000 Void
   +0x020 DriverSize       : 0x7000
   +0x028 DriverSection    : 0xffffbf0f`6124e280 Void
   +0x030 DriverExtension  : 0xffffbf0f`66179aa0 _DRIVER_EXTENSION
   +0x038 DriverName       : _UNICODE_STRING "\Driver\MyDriver2"
   +0x048 HardwareDatabase : 0xfffff805`13144990 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x050 FastIoDispatch   : (null) 
   +0x058 DriverInit       : 0xfffff805`2b125000     long  MyDriver2!GsDriverEntry+0
   +0x060 DriverStartIo    : (null) 
   +0x068 DriverUnload     : 0xfffff805`2b121060     void  MyDriver2!DriverUnload+0
   +0x070 MajorFunction    : [28] 0xfffff805`127596a0     long  nt!IopInvalidDeviceRequest+0

注: +0x028 DriverSection : 0xffffbf0f`6124e280 指向一个_LDR_DATA_TABLE_ENTRY结构体
结构体InLoadOrderLinks 指向下一个内核模块,可以遍历所有内核模块

kd> dt _LDR_DATA_TABLE_ENTRY 0xffffbf0f`6124e280
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0xfffff805`13040270 - 0xffffbf0f`6103b2c0 ]
   +0x010 InMemoryOrderLinks : _LIST_ENTRY [ 0xfffff805`2b124000 - 0x00000000`00000030 ]
   +0x020 InInitializationOrderLinks : _LIST_ENTRY [ 0x00000000`00000000 - 0x00000000`00000000 ]
   +0x030 DllBase          : 0xfffff805`2b120000 Void
   +0x038 EntryPoint       : 0xfffff805`2b125000 Void
   +0x040 SizeOfImage      : 0x7000
   +0x048 FullDllName      : _UNICODE_STRING "\??\C:\Users\mirsun\Desktop\MyDriver2.sys"
   +0x058 BaseDllName      : _UNICODE_STRING "MyDriver2.sys"
   +0x068 FlagGroup        : [4]  ""
   +0x068 Flags            : 0x49104000
   +0x068 PackagedBinary   : 0y0
   +0x068 MarkedForRemoval : 0y0
   +0x068 ImageDll         : 0y0
   +0x068 LoadNotificationsSent : 0y0
   +0x068 TelemetryEntryProcessed : 0y0
   +0x068 ProcessStaticImport : 0y0
   +0x068 InLegacyLists    : 0y0
   +0x068 InIndexes        : 0y0
   +0x068 ShimDll          : 0y0
   +0x068 InExceptionTable : 0y0
   +0x068 ReservedFlags1   : 0y00
   +0x068 LoadInProgress   : 0y0
   +0x068 LoadConfigProcessed : 0y0
   +0x068 EntryProcessed   : 0y1
   +0x068 ProtectDelayLoad : 0y0
   +0x068 ReservedFlags3   : 0y00
   +0x068 DontCallForThreads : 0y0
weixin_41725706
关注
专栏目录
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 595
遍历成功拿到了线程回调对象。
内核驱动_00_内核编程基础知识
hskull的博客
02-02 965
内核编程环境 概述 在Windows下,32为系统中每个进程都有其自身享有的4GB内存空间,每个进程的内存空间都是相互隔离的。其中低2GB是用户空间,高2GB是内核空间。原则上,每个进程的高2GB内核空间内的数据是共享的,即绝大部分都是一样的。 而内核空间是受到硬件保护的,比如在x86架构下R0层(Ring0)的代码才可以访问内核空间,普通的应用程序编译出来后都运行在R3层,R3层程序要调用R0...
08.MyPCHunter(遍历驱动模块).zip_7DN_Mypchunter_PCHunter _officeoy8_驱动
07-15
实现PCHunter,自己下载着看吧 还有字数要求
遍历内核模块
qq_41490873的博客
04-19 747
typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVOID DriverStart; ...
遍历Windows系统的内核模块
baggiowangyu的专栏
12-22 3194
自己做了一个工具需要遍历Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: #include #include #include #include #pragma comment(lib, "psapi") #define ARRAY_SIZE 1024 void EnumKernelModule() {
x64驱动 遍历驱动模块
LYSM
07-02 2204
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
Windows内核安全与驱动开发光盘源码
07-11
2.1.2 共享内核空间 17 2.1.3 无处不在的内核模块 18 2.2 数据类型 19 2.2.1 基本数据类型 19 2.2.2 返回状态 19 2.2.3 字符串 20 2.3 重要的数据结构 21 2.3.1 驱动对象 21 2.3.2 设备对象 22 2.3.3 ...
Linux内核Makefile详解:驱动开发与代码结构理解的关键
"这篇文档是关于Linux内核Makefile的详解,主要针对设备驱动开发内核代码结构的理解。文档提供了内核目录中documentation/kbuild/makefiles.txt的中文翻译,涵盖了从概述到Kbuild变量等多个方面,帮助开发者更好地...
Linux内核空间用户空间数据交互
liangchen0322的博客
01-16 792
数据交互 http://blog.csdn.net/bingqingsuimeng/article/details/7924756 linux驱动程序一般工作在内核空间,但也可以工作在用户空间。下面我们将详细解析,什么是内核空间,什么是用户空间,以及如何判断他们。   Linux简化了分段机制,使得虚拟地址与线性地址总是一致,因此,Linux的虚拟地址空间也为0~4G.Linux内核将这4G
Windows内核安全驱动开发(随书光盘)
08-02
2.1.2 共享内核空间 17 2.1.3 无处不在的内核模块 18 2.2 数据类型 19 2.2.1 基本数据类型 19 2.2.2 返回状态 19 2.2.3 字符串 20 2.3 重要的数据结构 21 2.3.1 驱动对象 21 2.3.2 设备对象 22 2.3.3 ...
超级内存遍历工具
10-02
超级内存遍历工具
一款很强的 超级 内存遍历工具
01-18
做外挂就一定要遍历内存, 这个工具就帮助你这个,需要的来拿。。
易语言写的内存遍历工具(源码)
10-09
易语言写的内存遍历工具(源码),能够遍历7级内存,希望对初学者认识内存有帮助。
内存遍历工具(驱动版)
03-23
使用详细: 1.工具有一个隐含快捷键alt+f,这个快捷键的作用是选择窗口,选择了以后工具的区域1就会变成“窗口句柄+进程ID+进程句柄+OK”如果打开失败了,那就变成“error”了。 2.区域6的作用是显示遍历结果,这个窗口的数据不是时时更新的,并且软件关闭后不会记录,除右键菜单外还支持快捷操作 (1)左键双击-记录鼠标选择行所有信息到区域3(当前激活的) (2)DELETE-删除鼠标选择行 3.区域2的作用是归类当前TAB标签,可以在软件目录下opmem.ini文件设置其标签名称,方法为在“[setup]”下添加“char_tab1=人物信息”标签1就变成了人物信息,如果是“char_tab2”那么就是第二个标签的标题,这几个标签是可以切换的,且各自独立。 4.区域3的作用是分类记录已经分析完成的内存信息(这些信息重器软件是保存的),其中软件读取的地址为偏移栏目下的基址+偏移,除右键菜单外还支持DELETE键,还有就是内存锁定功能(把地址栏的勾打上),锁定功能这里要提及一下,软件会锁定你修改成的值,其它就没什么了。 5.区域4的作用是设置遍历参数,这个栏目属于最基础的,所以就不多说了,就是设置了信息然后单击开始遍历就可以了。 6.区域5的作用是设置过滤条件和信息,在这个栏目设置了以后电击开始过滤就会根据你设置的条件和信息对区域6的信息进行过滤,下面详细介绍每个过滤条件以及对应的过滤信息的设置。组1:单-过滤对象为区域6的单字信息,双-过滤对象为区域6的双字信息,四-过滤对象为区域6的四字信息,A-过滤对象为区域6的文本A信息,U-过滤对象为区域6的文本U信息 组2:%d-代表读取的内存信息用十进制表示 %x-代表读取的内存信息用十六进制表示 组3:大-过滤条件是比搜索1框内输入数字大的保留,小于或等于的删除,小-过滤条件是比搜索1框内输入数字小的保留,大于或等于的删除,间-过滤条件是比搜索1框内输入数字小或者比搜索2框内输入数字大的删除,其余的保留,等-过滤条件是等于搜索1框内输入数字的保留,其余的删除,增-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据大于当前的则保留,其余的删除,减-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据小于当前的则保留,其余的删除 同-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的相同则保留,其余的删除,变-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的不相同则保留,其余的删除。 7.CALL相关这个按钮和开始搜索这个按钮的功能还没有写,在此希望哪位同行发一份CE的源码让我学习,我会增加CE的功能于这款软件
遍历内核驱动模块
HXC_HUANG的博客
03-05 5371
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
win7-32、驱动模块遍历驱动模块隐藏
Windows内核学习笔记
07-08 916
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
遍历驱动
cshcmqcsh的专栏
05-30 706
_driver_object成员DriverSection指向_ldr_data_table_entry,_ldr_data_table_entry储存了某一驱动的基址、文件名等信息。_ldr_data_table_entry 成员 InLoadOrderLinks 为一 _list_entry结构,储存了前、后_ldr_data_table_entry的地址,_ldr_data_table_entry通过此成员形成一双向链表。而系统所有已装入驱动都在这链表中有一结点。故遍历之,即可达到目的。
Windows内核遍历驱动模块源码分析
12-10 525
要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下: [cpp] view plain copy print? // ...
x64通过PspCidTable遍历进程
zhuhuibeishadiao
06-05 2875
PspCidTable可以在PsLookupProcessByProcessId下寻找 我这硬编码了 只适用于win7 x64 其它版本需要自己改下特征码 #include extern "C" NTKERNELAPI PVOID NTAPI ObGetObjectType( IN PVOID pObject ); extern "C" N
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值