方法是基于PsLoadModuleList方式

驱动中遍历模块

一丶简介

简介:

进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置.

提供了两个参数. 一个是DrIverObject另一个则是注册表路径.

其实遍历模块的技巧就在这个DriverObject中.

众所周知在Ring3下遍历模块可以通过TEB PEB遍历. 我们会接触一个结构体叫做LDR_DATA_TABLE_ENTRY的结构体.

内核中也会使用这个结构体. 看下DriverObject对象所代表的含义.



typedef struct _DRIVER_OBJECT {

    CSHORT Type;

    CSHORT Size;

    PDEVICE_OBJECT DeviceObject;                //驱动对象

    ULONG Flags;                                //驱动的标志

    PVOID DriverStart;                          //驱动的起始位置

    ULONG DriverSize;                           //驱动的大小

    PVOID DriverSection;                        //指向驱动程序映像的内存区对象

    PDRIVER_EXTENSION DriverExtension;          //驱动的扩展空间

    UNICODE_STRING DriverName;                  //驱动名字

    PUNICODE_STRING HardwareDatabase;

    PFAST_IO_DISPATCH FastIoDispatch;

    PDRIVER_INITIALIZE DriverInit;

    PDRIVER_STARTIO DriverStartIo;

    PDRIVER_UNLOAD DriverUnload;

    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;

typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

在这里主要使用 DriverSection这个成员 这个成员则可以解释为LDR_DATA_TABLE_ENTRY结构体.

里面存放着我们的所有模块.



typedef struct _LDR_DATA_TABLE_ENTRY {

	LIST_ENTRY InLoadOrderLinks;               //链表存储,指向下一个LDR_DATA_TABLE_ENTRY结构

	LIST_ENTRY InMemoryOrderLinks;

	LIST_ENTRY InInitializationOrderLinks;

	PVOID DllBase;                             //基址

	PVOID EntryPoint;

	ULONG SizeOfImage;

	UNICODE_STRING FullDllName;

	UNICODE_STRING BaseDllName;                //存放着驱动模块名

	ULONG Flags;

	USHORT LoadCount;

	USHORT TlsIndex;

	union {

		LIST_ENTRY HashLinks;

		struct {

			PVOID SectionPointer;

			ULONG CheckSum;

		};

	};

	union {

		struct {

			ULONG TimeDateStamp;

		};

		struct {

			PVOID LoadedImports;

		};

	};

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

所以代码就很简单了.直接遍历自身结构体的 DriverSection成员即可.解释为(LDR_DATA_TABLE_ENTRY)结构.

二丶代码以及演示.

#include "Driver.h" //这个替换为自己的. 包含Ntddk.h即可.

#include <wdm.h>

//KLDR_DATA_TABLE_ENTRY

typedef struct _LDR_DATA_TABLE_ENTRY {

	LIST_ENTRY InLoadOrderLinks;

	LIST_ENTRY InMemoryOrderLinks;

	LIST_ENTRY InInitializationOrderLinks;

	PVOID DllBase;

	PVOID EntryPoint;

	ULONG SizeOfImage;

	UNICODE_STRING FullDllName;

	UNICODE_STRING BaseDllName;

	ULONG Flags;

	USHORT LoadCount;

	USHORT TlsIndex;

	union {

		LIST_ENTRY HashLinks;

		struct {

			PVOID SectionPointer;

			ULONG CheckSum;

		};

	};

	union {

		struct {

			ULONG TimeDateStamp;

		};

		struct {

			PVOID LoadedImports;

		};

	};

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)

{

	ULONG iCount = 0;

	NTSTATUS ntStatus;

	pDriverObj->DriverUnload = DriverUnLoad;

	KdBreakPoint();

	/*

	主要是遍历DriverObject中的 DriverSection 它可以解释为LDR_DATA_TABLE_ENTRY结构体

	*/

	PLDR_DATA_TABLE_ENTRY pLdr = NULL;

	PLIST_ENTRY pListEntry = NULL;

	PLIST_ENTRY pCurrentListEntry = NULL;

	PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;

	pLdr = (PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection;

	pListEntry = pLdr->InLoadOrderLinks.Flink;

	pCurrentListEntry = pListEntry->Flink;

	while (pCurrentListEntry != pListEntry) //前后不相等

	{

		//获取LDR_DATA_TABLE_ENTRY结构

		pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

			if (pCurrentModule->BaseDllName.Buffer != 0)

			{

				DbgPrint("ModuleName = %wZ ModuleBase = %p \r\n",

					pCurrentModule->BaseDllName,

				 pCurrentModule->DllBase);

			}

			pCurrentListEntry = pCurrentListEntry->Flink;

	}

	return STATUS_SUCCESS;

}

结果.

代码简单改一下.还可以获得指定的模块的基址以及结束地址.

代码如下

VOID GetModuleBaseByName(PDRIVER_OBJECT pDriverObj,UNICODE_STRING ModuleName)

{

	PLDR_DATA_TABLE_ENTRY pLdr = NULL;

	PLIST_ENTRY pListEntry = NULL;

	PLIST_ENTRY pCurrentListEntry = NULL;

	PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL;

	pLdr = (PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection;

	pListEntry = pLdr->InLoadOrderLinks.Flink;

	pCurrentListEntry = pListEntry->Flink;

	while (pCurrentListEntry != pListEntry) //前后不相等

	{

		//获取LDR_DATA_TABLE_ENTRY结构

		pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

		if (pCurrentModule->BaseDllName.Buffer != 0)

		{

			if (RtlCompareUnicodeString(&pCurrentModule->BaseDllName, &ModuleName, TRUE) == 0)

			{

				DbgPrint("ModuleName = %wZ ModuleBase = %p ModuleEndBase = %p\r\n",

					pCurrentModule->BaseDllName,

					pCurrentModule->DllBase,

					(LONGLONG)pCurrentModule->DllBase + pCurrentModule->SizeOfImage);

			}

		}

		pCurrentListEntry = pCurrentListEntry->Flink;

	}

}

驱动中遍历模块,以及获取ntoskrnl.exe基址的更多相关文章

  1. kernel 获取ntoskrnl.exe基址

    标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64-bits为例,这是Eter ...

  2. scala调用java的方法,返回了一个对象链表List<Student>,在scala中遍历该链表获取指定Student的名字name

    假设Student类如下: class Student { private int no; private String name; public int getNo() { return no; } ...

  3. VC中遍历进程并获取进程信息

    代码如下: /***************************************************/ /* 函数: 遍历进程信息 /* 参数:进程名称 例如: aaa.exe /* ...

  4. python 中requests 模块用py2exe生成exe后SSL certificate exception的问题

    [('system library', 'fopen', 'No such process'), ('BIO routines', 'BIO_new_file', 'no such file'), ( ...

  5. 驱动中获取PsActiveProcessHead变量地址的五种方法也可以获取KdpDebuggerDataListHead

    PsActiveProcessHead的定义: 在windows系统中,所有的活动进程都是连在一起的,构成一个双链表,表头是全局变量PsActiveProcessHead,当一个进程被创建时,其Act ...

  6. SOS从内存转储中提取模块(EXE、DLL和其他二进制文件)

    假设有一种情况,您从客户那里得到一个内存转储,需要模块(DLL.EXE.OCX等)来进一步调试..(.NET模块可用于通过反向工程查看源代码.)我们可以使用windbg目录中的clr10\sos.dl ...

  7. VC中遍历目标进程中的模块

    VC中遍历目标进程中的模块 MFC代码win32 也可以用 在下面代码进行修改转换就可以了CString strModule; 可以换成 char* 但是MODULEENTRY32结构中的szModu ...

  8. java中遍历实体类,获取属性名和属性值

    方式一(实体类): //java中遍历实体类,获取属性名和属性值 public static void testReflect(Object model) throws Exception{ for ...

  9. 在弹框中获取foreach中遍历的id值,并传递给地址栏(方法2)

    1.php有时候我们需要再弹框中获取foreach中遍历的数据(例如id),在弹框中点击按钮并传递给地址栏跳转.那么应该怎么做呢.第二种方法. 2. 可以在弹框中给出一个input hidden 点击 ...

随机推荐

  1. CMU-Multimodal SDK Version 1.1 (mmsdk)使用方法总结

    年10月26日 星期六 mmdatasdk: module for downloading and procesing multimodal datasets using computational ...

  2. Java IO---序列化和反序列化

    一.序列化和反序列化介绍 什么是序列化和反序列化? ​ 序列化就是将对象转换为字节序列的过程. ​ 反序列化就是将字节序列恢复为对象的过程. 序列化的用途在哪? 通常情况下,序列化有两个用途: 将对象 ...

  3. Javascript数组原型方法大全以及实例!!

    数组的方法有数组原型方法,也有从object对象继承来的方法,这里我们只介绍数组的原型方法,数组原型方法主要有以下这些: join() push()和pop() shift() 和 unshift() ...

  4. JavaScript 流程控制(一)顺序结构与分支结构

    语句:语句可以理解为一个行为,循环语句和判断语句就是典型的语句.一个程序有很多个语句组成,一般情况下分号;分割一个一个的语句:如果省略分号,则由解析器确定语句的结尾(不推荐使用) 一.流程控制 流程控 ...

  5. 英语koreite寿山石koreite单词

    koreite指寿山石 寿山石是中华瑰宝,中国传统“四大印章石“之一.分布在福州市北郊晋安区与连江县.罗源县交界处的“金三角”地带. 寿山石是福州特有的名贵石材,其石质晶莹.脂润.色彩斑斓,色泽浑然天 ...

  6. Java梗概

    Java平台:J2SE(桌面).J2ME(逐渐被android取代).J2EE(企业级针对web程序) Java是在JVM虚拟机上运行,跨平台本质是在不同平台上运行JVM虚拟机 JRE = JVM+核 ...

  7. java Elasticsearch 进行嵌套子聚合

    聚合子查询: TermsAggregationBuilder aggregation = AggregationBuilders.terms("dt_id").field(&quo ...

  8. Integrated SOA Gateway 不是当前用户的有效责任。请联系您的系统管理员。

    问题:给用户新增职责集成SOA网关,点击路径进入时出现报错:"Integrated SOA Gateway 不是当前用户的有效责任.请联系您的系统管理员." 解决:功能管理员职责, ...

  9. 连接mysql报"ERROR 1130: Host xxx.xxx.xxx.xxx is not allowed to connect to this MySQL server"

    最近在服务器上部署好的应用突然间连接不上mysql数据库,报错“ERROR 1130: Host xxx.xxx.xxx.xxx is not allowed to connect to this M ...

  10. flask ajax发送请求返回400

    在flaskWTF使用csrf保护后,一般提交form表单都需要一个隐藏的csrf 这样可以成功提交,但是使用ajax提交时就不能成功提交,会返回400错误,服务器无法理解请求,这样就需要新的方法解决 ...