Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量365 收藏 1
点赞数 1
分类专栏: Windows内核 文章标签: windows c++ 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuting__xf/article/details/120761089
版权

  • 附另两种方法链接

Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)

Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation)

1.主要区别 

     上面两个链接使用的方法中的函数或者结构体都为未文档化的,所以存在不同系统环境下结构体或者其它定义不同的情况,可能需要针对性调试系统才能获取。而当前文档介绍的方法为文档化的。

2.原型

NTSTATUS AuxKlibQueryModuleInformation(
  PULONG BufferSize,
  ULONG  ElementSize,
  PVOID  QueryInfo
);

参数: 

  • BufferSize 【In/Out】 一个指向接收数据缓冲区大小的指针,大小为字节。如果QueryInfo为空,该值为驱动必须分配的接收获取的信息的大小的字节数。如果QueryInfo不为空,则为给定的缓冲区大小。
  • ElementSize【In】    QueryInfo指针指向数组中每个元素的字节大小,可设定的值为sizeof(AUX_MODULE_BASIC_INFO)或sizeof(AUX_MODULE_EXTENDED_INFO)。
  • QueryInfo【Out/Optional】指向结构体 AUX_MODULE_BASIC_INFO 或者AUX_MODULE_EXTENDED_INFO 数组的指针,该数组用来接受已加载模块的信息。如果指针为空,AuxKlibQueryModuleInformation 将需要的缓冲区大小写入BufferSize指针

返回值: 

       操作成功返回STATUS_SUCCESS ;
       如果QueryInfo 不为空,且驱动提供的缓冲区大小不够则返回STATUS_BUFFER_TOO_SMALL ;
       可能还会返回其它NTSTATUS值。

备注:

       要获取系统加载模块信息,驱动必须做以下操作:
        1、调用AuxKlibQueryModuleInformation且QueryInfo传空,返回后BufferSize为需要分配缓冲区字节大小数。
        2、调用内存申请例程,例如 ExAllocatePoolWithTag,为该数组分配缓冲区。
        3、再次调用AuxKlibQueryModuleInformation,QueryInfo为申请的缓冲区地址指针。AuxKlibQueryModuleInformation返回后,缓冲区包含加载模块的数组。

        在使用AuxKlibQueryModuleInformation之前必须调用AuxKlibInitialize。

要求:

        头文件aux_klib.h (include Aux_klib.h)

        包含库 Aux_Klib.lib

3.结构体

typedef struct _AUX_MODULE_BASIC_INFO {
  PVOID ImageBase;
} AUX_MODULE_BASIC_INFO, *PAUX_MODULE_BASIC_INFO;


typedef struct _AUX_MODULE_EXTENDED_INFO {
  AUX_MODULE_BASIC_INFO BasicInfo;
  ULONG                 ImageSize;
  USHORT                FileNameOffset;
  UCHAR                 FullPathName[AUX_KLIB_MODULE_PATH_LEN];
} AUX_MODULE_EXTENDED_INFO, *PAUX_MODULE_EXTENDED_INFO;

4.代码实现

NTSTATUS PrintAllLoadedMoudleByAux()
{
        NTSTATUS ntStatus = STATUS_UNSUCCESSFUL;
        PAUX_MODULE_EXTENDED_INFO pModules = NULL;
        ULONG ulMoudleSize = 0;
        ULONG ulNumberOfModules = 0;
        do
        {
                ntStatus = AuxKlibInitialize();
                if (!NT_SUCCESS(ntStatus))
                {
                        KDPRINT("【PrintLoadedModule】::【PrintAllLoadedMoudleByAux】AuxKlibInitialize Failed!\r\n");
                        break;
                }
                ntStatus = AuxKlibQueryModuleInformation(
                        &ulMoudleSize,
                        sizeof(AUX_MODULE_EXTENDED_INFO),
                        NULL);
                if (STATUS_BUFFER_TOO_SMALL == ntStatus || ulMoudleSize != 0)
                {
                        ulNumberOfModules = ulMoudleSize / sizeof(AUX_MODULE_EXTENDED_INFO);

                        pModules = (PAUX_MODULE_EXTENDED_INFO)ExAllocatePoolWithTag(PagedPool, ulMoudleSize, MmTagTypeAux);
                        if (pModules == NULL)
                        {
                                KDPRINT("【PrintLoadedModule】::【PrintAllLoadedMoudleByAux】ExAllocatePoolWithTag Failed!\r\n");
                                ntStatus = STATUS_INSUFFICIENT_RESOURCES;
                                break;
                        }
                        RtlZeroMemory(pModules, ulMoudleSize);
                        ntStatus = AuxKlibQueryModuleInformation(
                                &ulMoudleSize,
                                sizeof(AUX_MODULE_EXTENDED_INFO),
                                pModules);
                        if (!NT_SUCCESS(ntStatus))
                        {
                                KDPRINT("【PrintLoadedModule】::【PrintAllLoadedMoudleByAux】AuxKlibQueryModuleInformation 2 Failed!\r\n");
                                break;
                        }
                        for (ULONG i = 0; i < ulNumberOfModules; i++)
                        {
                                KDPRINT("【PrintLoadedModule】::【PrintAllLoadedMoudleByAux】Path:%-50s BaseAddress:0x%p\r\n",
                                        pModules[i].FullPathName, pModules[i].BasicInfo.ImageBase);
                        }
                        KDPRINT("【PrintLoadedModule】::【PrintAllLoadedMoudleByAux】共计%d个内核模块!\r\n", ulNumberOfModules);
                }

        } while (false);
        if (pModules)
        {
                ExFreePoolWithTag(pModules, MmTagTypeAux);
        }
        return ntStatus;
}

5.运行结果

        XP 32位

 Win7 x64:

禁锢在时空之中的灵魂
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NtQuerySystemInformation使用
乐朝夕与之共
12-19 8445
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
遍历内核模块
qq_41490873的博客
04-19 713
typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVOID DriverStart; ...
4.6 Windows驱动开发内核遍历进程VAD结构体
最新发布
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2309
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
Linux编写内核模块新增系统调用遍历进程树--基于Ubuntu20.04.03LTS实现
02-18
实验目标:在Linux内核中增加一个系统调用,并编写对应的linux应用程序。利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 实验环境:...
Linux内核设备驱动内核中链表的使用笔记整理
09-15
本文主要探讨了如何在Linux内核设备驱动使用链表,包括其基本结构、初始化、操作和遍历。 首先,链表的基本结构由`struct list_head`定义,它包含两个指针成员`next`和`prev`,用于构建双循环链表。与传统的双...
windowssdk编程系列文章28----遍历USB设备,获取扫描仪序列号[收集].pdf
10-12
本文主要介绍了使用Windows SDK编程来遍历USB设备,获取扫描仪序列号的方法。通过了解USB设备的基本结构和通讯步骤,我们可以使用CreateFile和DeviceIoControl函数来与USB设备通讯,获取硬件信息。 一、USB设备的...
14.遍历驱动模块.mp4
09-10
windows x64驱动程序开发 14.遍历驱动模块.
第二十四课_遍历windows对象目录
05-18 1738
#include "ntddk.h" #define MAX_TABLE 37 #define MAX_OBJECT_COUNT 0x10000 typedef ULONG DEVICE_MAP; typedef ULONG EX_PUSH_LOCK; typedef struct _OBJECT_DIRECTORY_ENTRY{
遍历windows驱动遍历对象目录的对象
03-05 1983
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
驱动开发内核遍历进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
Windows内核遍历所有进程的几种方法
Think88666的博客
08-26 1104
Windows内核遍历所有进程的几种方法;枚举进程;
x64驱动 遍历 PspCidTable 枚举隐进程和线程
LYSM
06-05 2828
介绍 PspCidTable 是一个内核句柄表,存放进程和线程的内核对象(EPROCESS 和 ETHREAD),并通过 PID 和 TID 进行索引(所以进程ID和线程ID不可能相同),ID 号以 4 递增。 获取 PspCidTable 地址 win7: PsLookupProcessByProcessId(被导出) -> PspCidTable win10: PsLookupProcessByProcessId(被导出) -> PspReferenceCidTableEntry -&g
驱动开发内核遍历文件或目录
CSDN
06-12 9175
在笔者前一篇文章`《驱动开发内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核遍历文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。
操作系统[系统学习二]
weixin_40996518的博客
09-09 324
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
遍历Windows系统的内核模块
baggiowangyu的专栏
12-22 3153
自己做了一个工具需要遍历Windows系统加载内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: #include #include #include #include #pragma comment(lib, "psapi") #define ARRAY_SIZE 1024 void EnumKernelModule() {
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5162
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
驱动遍历进程的方法
qq_41071646的博客
10-27 1409
/*#include &lt;ntddk.h&gt; #define DEVICE_OBJECT_NAME L"\\Device\\BufferedIODeviceObjectName" #define DEVICE_LINK_NAME L"\\DosDevices\\BufferedIODevcieLinkName" void dirver(IN PDRIVER_OBJECT pDri...
el-image遍历加载图片
09-13
### 回答1: el-image 是一个 Vue.js 的组件,用于在网页上展示图片。你可以通过使用 Vue.js 的 v-for 指令来遍历加载图片。 例如,假设你有一个图片数组,包含了你想要加载的图片的 URL,你可以这样使用 el-image 组件来遍历加载这些图片: ``` <template> <div> <el-image v-for="(image, index) in images" :key="index" :src="image"></el-image> </div> </template> <script> export default { data() { return { images: [ 'https://example.com/image1.jpg', 'https://example.com/image2.jpg', 'https://example.com/image3.jpg' ] } } } </script> ``` 在上面的代码中,我们使用了 v-for 指令来遍历 images 数组,并且使用 el-image 组件来展示图片。我们还使用了 :key 属性来提供每个 el-image 组件的唯一标识符,这是为了优化 Vue.js 的性能。:src 属性用于指定图片的 URL。 希望这个示例能帮助你了解如何使用 el-image 组件来遍历加载图片。 ### 回答2: el-image是Element UI框架中的一个组件,用于加载图片。要实现el-image的遍历加载图片,可以按照以下步骤进行操作。 首先,需要准备一组图片的数据,可以使用一个数组来存储图片的URL地址或者其他相关信息。 然后,在Vue组件中使用v-for指令遍历这个图片数组。可以在一个容器元素内使用v-for指令,例如使用div元素作为容器,并在该容器内部使用el-image组件。 接下来,将图片数组作为v-for指令的参数,即可在每次循环中获取到数组中的一项图片数据。在el-image组件中使用:src属性绑定该图片数据的URL地址,这样就能够加载和显示该图片。 最后,可以根据需要设置el-image组件的其他属性,例如设置图片的宽高、裁剪模式等。 总结一下,使用el-image组件进行遍历加载图片的步骤是:准备图片数据数组,使用v-for指令遍历数组,在组件内部使用el-image组件加载每个图片数据,设置图片的基本属性。 ### 回答3: el-image是Element UI中的一种图片组件,用于显示图片。如果要遍历加载多张图片,可以利用v-for指令和循环遍历的方式来动态生成el-image组件。 首先,在data中定义一个图片数组,包含了要加载的所有图片的路径。例如: ``` data() { return { imageList: [ { url: 'image1.jpg' }, { url: 'image2.jpg' }, { url: 'image3.jpg' } ] } } ``` 然后,在模板中使用v-for指令来遍历imageList数组,生成对应的el-image组件。例如: ``` <template> <div> <el-image v-for="image in imageList" :key="image.url" :src="image.url"> </el-image> </div> </template> ``` 这样就可以通过遍历加载图片,生成多个el-image组件,并根据imageList数组中的图片路径来设置el-image的src属性,以显示对应的图片。 需要注意的是,为了保证图片能正常加载,需要确保图片路径是正确的,并且可以访问到。另外,如果图片过多或者较大,可能会导致页面加载速度变慢,因此在实际使用过程中,应该合理控制加载图片的数量和大小,以提升页面性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值