要获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation.

NtQuerySystemInformation申明如下:

  1. //
  2. // System Information Classes.
  3. //
  4. typedef enum _SYSTEM_INFORMATION_CLASS {
  5. SystemBasicInformation,
  6. SystemProcessorInformation,              // obsolete...delete
  7. SystemPerformanceInformation,
  8. SystemTimeOfDayInformation,
  9. SystemPathInformation,
  10. SystemProcessInformation,                //系统进程信息
  11. SystemCallCountInformation,
  12. SystemDeviceInformation,
  13. SystemProcessorPerformanceInformation,
  14. SystemFlagsInformation,
  15. SystemCallTimeInformation,
  16. SystemModuleInformation,     //系统模块
  17. SystemLocksInformation,
  18. SystemStackTraceInformation,
  19. SystemPagedPoolInformation,
  20. SystemNonPagedPoolInformation,
  21. SystemHandleInformation,
  22. SystemObjectInformation,
  23. SystemPageFileInformation,
  24. SystemVdmInstemulInformation,
  25. SystemVdmBopInformation,
  26. SystemFileCacheInformation,
  27. SystemPoolTagInformation,
  28. SystemInterruptInformation,
  29. SystemDpcBehaviorInformation,
  30. SystemFullMemoryInformation,
  31. SystemLoadGdiDriverInformation,
  32. SystemUnloadGdiDriverInformation,
  33. SystemTimeAdjustmentInformation,
  34. SystemSummaryMemoryInformation,
  35. SystemMirrorMemoryInformation,
  36. SystemPerformanceTraceInformation,
  37. SystemObsolete0,
  38. SystemExceptionInformation,
  39. SystemCrashDumpStateInformation,
  40. SystemKernelDebuggerInformation,
  41. SystemContextSwitchInformation,
  42. SystemRegistryQuotaInformation,
  43. SystemExtendServiceTableInformation,
  44. SystemPrioritySeperation,
  45. SystemVerifierAddDriverInformation,
  46. SystemVerifierRemoveDriverInformation,
  47. SystemProcessorIdleInformation,
  48. SystemLegacyDriverInformation,
  49. SystemCurrentTimeZoneInformation,
  50. SystemLookasideInformation,
  51. SystemTimeSlipNotification,
  52. SystemSessionCreate,
  53. SystemSessionDetach,
  54. SystemSessionInformation,
  55. SystemRangeStartInformation,
  56. SystemVerifierInformation,
  57. SystemVerifierThunkExtend,
  58. SystemSessionProcessInformation,
  59. SystemLoadGdiDriverInSystemSpace,
  60. SystemNumaProcessorMap,
  61. SystemPrefetcherInformation,
  62. SystemExtendedProcessInformation,
  63. SystemRecommendedSharedDataAlignment,
  64. SystemComPlusPackage,
  65. SystemNumaAvailableMemory,
  66. SystemProcessorPowerInformation,
  67. SystemEmulationBasicInformation,
  68. SystemEmulationProcessorInformation,
  69. SystemExtendedHandleInformation,
  70. SystemLostDelayedWriteInformation,
  71. SystemBigPoolInformation,
  72. SystemSessionPoolTagInformation,
  73. SystemSessionMappedViewInformation,
  74. SystemHotpatchInformation,
  75. SystemObjectSecurityMode,
  76. SystemWatchdogTimerHandler,
  77. SystemWatchdogTimerInformation,
  78. SystemLogicalProcessorInformation,
  79. SystemWow64SharedInformation,
  80. SystemRegisterFirmwareTableInformationHandler,
  81. SystemFirmwareTableInformation,
  82. SystemModuleInformationEx,
  83. SystemVerifierTriageInformation,
  84. SystemSuperfetchInformation,
  85. SystemMemoryListInformation,
  86. SystemFileCacheInformationEx,
  87. MaxSystemInfoClass   // MaxSystemInfoClass should always be the last enum
  88. } SYSTEM_INFORMATION_CLASS;
//

// System Information Classes.

//

typedef enum _SYSTEM_INFORMATION_CLASS {

   SystemBasicInformation,

   SystemProcessorInformation,              // obsolete...delete

   SystemPerformanceInformation,

   SystemTimeOfDayInformation,

   SystemPathInformation,

   SystemProcessInformation,                //系统进程信息

   SystemCallCountInformation,

   SystemDeviceInformation,

   SystemProcessorPerformanceInformation,

   SystemFlagsInformation,

   SystemCallTimeInformation,

   SystemModuleInformation,     //系统模块

   SystemLocksInformation,

   SystemStackTraceInformation,

   SystemPagedPoolInformation,

   SystemNonPagedPoolInformation,

   SystemHandleInformation,

   SystemObjectInformation,

   SystemPageFileInformation,

   SystemVdmInstemulInformation,

   SystemVdmBopInformation,

   SystemFileCacheInformation,

   SystemPoolTagInformation,

   SystemInterruptInformation,

   SystemDpcBehaviorInformation,

   SystemFullMemoryInformation,

   SystemLoadGdiDriverInformation,

   SystemUnloadGdiDriverInformation,

   SystemTimeAdjustmentInformation,

   SystemSummaryMemoryInformation,

   SystemMirrorMemoryInformation,

   SystemPerformanceTraceInformation,

   SystemObsolete0,

   SystemExceptionInformation,

   SystemCrashDumpStateInformation,

   SystemKernelDebuggerInformation,

   SystemContextSwitchInformation,

   SystemRegistryQuotaInformation,

   SystemExtendServiceTableInformation,

   SystemPrioritySeperation,

   SystemVerifierAddDriverInformation,

   SystemVerifierRemoveDriverInformation,

   SystemProcessorIdleInformation,

   SystemLegacyDriverInformation,

   SystemCurrentTimeZoneInformation,

   SystemLookasideInformation,

   SystemTimeSlipNotification,

   SystemSessionCreate,

   SystemSessionDetach,

   SystemSessionInformation,

   SystemRangeStartInformation,

   SystemVerifierInformation,

   SystemVerifierThunkExtend,

   SystemSessionProcessInformation,

   SystemLoadGdiDriverInSystemSpace,

   SystemNumaProcessorMap,

   SystemPrefetcherInformation,

   SystemExtendedProcessInformation,

   SystemRecommendedSharedDataAlignment,

   SystemComPlusPackage,

   SystemNumaAvailableMemory,

   SystemProcessorPowerInformation,

   SystemEmulationBasicInformation,

   SystemEmulationProcessorInformation,

   SystemExtendedHandleInformation,

   SystemLostDelayedWriteInformation,

   SystemBigPoolInformation,

   SystemSessionPoolTagInformation,

   SystemSessionMappedViewInformation,

   SystemHotpatchInformation,

   SystemObjectSecurityMode,

   SystemWatchdogTimerHandler,

   SystemWatchdogTimerInformation,

   SystemLogicalProcessorInformation,

   SystemWow64SharedInformation,

   SystemRegisterFirmwareTableInformationHandler,

   SystemFirmwareTableInformation,

   SystemModuleInformationEx,

   SystemVerifierTriageInformation,

   SystemSuperfetchInformation,

   SystemMemoryListInformation,

   SystemFileCacheInformationEx,

   MaxSystemInfoClass   // MaxSystemInfoClass should always be the last enum

} SYSTEM_INFORMATION_CLASS;
  1. NTSTATUS
  2. NtQuerySystemInformation (
  3. IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
  4. OUT PVOID SystemInformation,
  5. IN ULONG SystemInformationLength,
  6. OUT PULONG ReturnLength OPTIONAL
  7. )
NTSTATUS

NtQuerySystemInformation (

    IN SYSTEM_INFORMATION_CLASS SystemInformationClass,

    OUT PVOID SystemInformation,

    IN ULONG SystemInformationLength,

    OUT PULONG ReturnLength OPTIONAL

    )

根据泄漏出的widows 2000 部分源代码,NtQuerySystemInformation 有关 SystemModuleInformation的实现部分如下:

  1. case SystemModuleInformation:
  2. KeEnterCriticalRegion();
  3. ExAcquireResourceExclusive( &PsLoadedModuleResource, TRUE );
  4. ReleaseModuleResoure = TRUE;
  5. Status = ExpQueryModuleInformation( &PsLoadedModuleList,
  6. &MmLoadedUserImageList,
  7. (PRTL_PROCESS_MODULES)SystemInformation,
  8. SystemInformationLength,
  9. ReturnLength
  10. );
  11. ExReleaseResource (&PsLoadedModuleResource);
  12. ReleaseModuleResoure = FALSE;
  13. KeLeaveCriticalRegion();
  14. break;
case SystemModuleInformation:

	KeEnterCriticalRegion();

	ExAcquireResourceExclusive( &PsLoadedModuleResource, TRUE );

	ReleaseModuleResoure = TRUE;

	Status = ExpQueryModuleInformation( &PsLoadedModuleList,

										&MmLoadedUserImageList,

										(PRTL_PROCESS_MODULES)SystemInformation,

										SystemInformationLength,

										ReturnLength

									  );

	ExReleaseResource (&PsLoadedModuleResource);

	ReleaseModuleResoure = FALSE;

	KeLeaveCriticalRegion();

	break;

在Windows内核实现中,存在两个存储系统加载模块的两个链表,分别是PsLoadedModuleList和 MmLoadedUserImageList,两个全局变量 申明如下:

  1. LIST_ENTRY PsLoadedModuleList;//驱动模块列表
  2. LIST_ENTRY MmLoadedUserImageList;//应用程序映像列表
LIST_ENTRY PsLoadedModuleList;//驱动模块列表

LIST_ENTRY MmLoadedUserImageList;//应用程序映像列表

Windows就是通过这两个链表将代表系统模块的_LDR_DATA_ENTRY结构链接在一起。

_LDR_DATA_ENTRY结构体中有3个 _LIST_ENTRY,系统根据不同排列顺序串连系统中所加载的所有模块,情况就相当明显了,只要遍历任何一个双向链表,即可获得加载的模块信息。

在Windows 内核中,表示每个模块的数据结构是_LDR_DATA_TABLE_ENTRY,其结构申明为:

  1. kd> dt _LDR_DATA_TABLE_ENTRY
  2. nt!_LDR_DATA_TABLE_ENTRY
  3. +0x000 InLoadOrderLinks : _LIST_ENTRY
  4. +0x008 InMemoryOrderLinks : _LIST_ENTRY
  5. +0x010 InInitializationOrderLinks : _LIST_ENTRY
  6. +0x018 DllBase          : Ptr32 Void
  7. +0x01c EntryPoint       : Ptr32 Void
  8. +0x020 SizeOfImage      : Uint4B
  9. +0x024 FullDllName      : _UNICODE_STRING
  10. +0x02c BaseDllName      : _UNICODE_STRING
  11. +0x034 Flags            : Uint4B
  12. +0x038 LoadCount        : Uint2B
  13. +0x03a TlsIndex         : Uint2B
  14. +0x03c HashLinks        : _LIST_ENTRY
  15. +0x03c SectionPointer   : Ptr32 Void
  16. +0x040 CheckSum         : Uint4B
  17. +0x044 TimeDateStamp    : Uint4B
  18. +0x044 LoadedImports    : Ptr32 Void
  19. +0x048 EntryPointActivationContext : Ptr32 Void
  20. +0x04c PatchInformation : Ptr32 Void
kd> dt _LDR_DATA_TABLE_ENTRY

nt!_LDR_DATA_TABLE_ENTRY

   +0x000 InLoadOrderLinks : _LIST_ENTRY

   +0x008 InMemoryOrderLinks : _LIST_ENTRY

   +0x010 InInitializationOrderLinks : _LIST_ENTRY

   +0x018 DllBase          : Ptr32 Void

   +0x01c EntryPoint       : Ptr32 Void

   +0x020 SizeOfImage      : Uint4B

   +0x024 FullDllName      : _UNICODE_STRING

   +0x02c BaseDllName      : _UNICODE_STRING

   +0x034 Flags            : Uint4B

   +0x038 LoadCount        : Uint2B

   +0x03a TlsIndex         : Uint2B

   +0x03c HashLinks        : _LIST_ENTRY

   +0x03c SectionPointer   : Ptr32 Void

   +0x040 CheckSum         : Uint4B

   +0x044 TimeDateStamp    : Uint4B

   +0x044 LoadedImports    : Ptr32 Void

   +0x048 EntryPointActivationContext : Ptr32 Void

   +0x04c PatchInformation : Ptr32 Void

jpg改rar

Windows内核遍历驱动模块源码分析的更多相关文章

  1. Linux 内核调度器源码分析 - 初始化

    导语 上篇系列文 混部之殇-论云原生资源隔离技术之CPU隔离(一) 介绍了云原生混部场景中CPU资源隔离核心技术:内核调度器,本系列文章<Linux内核调度器源码分析>将从源码的角度剖析内 ...

  2. 鸿蒙轻内核M核源码分析:LibC实现之Musl LibC

    摘要:本文学习了LiteOS-M内核Musl LibC的实现,特别是文件系统和内存分配释放部分. 本文分享自华为云社区<鸿蒙轻内核M核源码分析系列十九 Musl LibC>,作者:zhus ...

  3. HashSet 添加/遍历元素源码分析

    HashSet 类图 HashSet 简单说明 HashSet 实现了 Set 接口 HashSet 底层实际上是由 HashMap 实现的 public HashSet() { map = new ...

  4. 面经手册 · 第4篇《HashMap数据插入、查找、删除、遍历,源码分析》

    作者:小傅哥 博客:https://bugstack.cn 沉淀.分享.成长,让自己和他人都能有所收获! 一.前言 在上一章节我们讲解并用数据验证了,HashMap中的,散列表的实现.扰动函数.负载因 ...

  5. ARMv8 Linux内核head.S源码分析

    ARMv8Linux内核head.S主要工作内容: 1. 从el2特权级退回到el1 2. 确认处理器类型 3. 计算内核镜像的起始物理地址及物理地址与虚拟地址之间的偏移 4. 验证设备树的地址是否有 ...

  6. 鸿蒙轻内核源码分析:文件系统FatFS

    摘要:本文为大家介绍FatFS文件系统结构体的结构体和全局变量,并分析FatFS文件操作接口. 本文分享自华为云社区<鸿蒙轻内核M核源码分析系列二一 03 文件系统FatFS>,作者:zh ...

  7. 鸿蒙轻内核源码分析:文件系统LittleFS

    摘要:本文先介绍下LFS文件系统结构体的结构体和全局变量,然后分析下LFS文件操作接口. 本文分享自华为云社区<# 鸿蒙轻内核M核源码分析系列二一 02 文件系统LittleFS>,作者: ...

  8. 鸿蒙内核源码分析(字符设备篇) | 字节为单位读写的设备 | 百篇博客分析OpenHarmony源码 | v67.01

    百篇博客系列篇.本篇为: v67.xx 鸿蒙内核源码分析(字符设备篇) | 字节为单位读写的设备 | 51.c.h.o 文件系统相关篇为: v62.xx 鸿蒙内核源码分析(文件概念篇) | 为什么说一 ...

  9. 鸿蒙内核源码分析(GN应用篇) | GN语法及在鸿蒙的使用 | 百篇博客分析OpenHarmony源码 | v60.01

    百篇博客系列篇.本篇为: v60.xx 鸿蒙内核源码分析(gn应用篇) | gn语法及在鸿蒙的使用 | 51.c.h.o 编译构建相关篇为: v50.xx 鸿蒙内核源码分析(编译环境篇) | 编译鸿蒙 ...

随机推荐

  1. hibernate-cascade级联关系

    <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE hibernate-mapping PUBL ...

  2. BZOJ4570: [Scoi2016]妖怪

    题目传送门 4570: [Scoi2016]妖怪 Time Limit: 10 Sec Memory Limit: 64 MB Submit: 491 Solved: 125 [Submit][Sta ...

  3. Linux下通过脚本自动备份Oracle数据库并删除指定天数前的备份

    说明: Oracle数据库服务器操作系统:CentOSIP:192.168.0.198端口:1521SID:orclOracle数据库版本:Oracle11gR2 具体操作: 1.root用户登录服务 ...

  4. 数据存储_SQLite (2)

    SQL代码应用示例 一.使用代码的方式批量添加(导入)数据到数据库中 在ios项目中使用代码批量添加多行数据示例 代码示例: 1 // 2 // main.m 3 // 01-为数据库添加多行数据 4 ...

  5. noip2015 运输计划

    描述 公元 2044 年,人类进入了宇宙纪元.L 国有 nn 个星球,还有 n−1n−1 条双向航道,每条航道建立在两个星球之间,这 n−1n−1 条 航道连通了 L 国的所有星球. 小 P 掌管一家 ...

  6. DataTable数据检索的性能分析(转寒江独钓)

    我们知道在.NET平台上有很多种数据存储,检索解决方案-ADO.NET Entity Framework,ASP.NET Dynamic Data,XML, NHibernate,LINQ to SQ ...

  7. [Python] Python学习笔记之常用模块总结[持续更新...]

    作为一种极其简单的编程语言,Python目前成为了最炙手可热的几种语言之一.它不仅简单易学,而且它还为用户提供了各种各样的模块,功能强大,无所不能.有利必有弊,学习Python同样有困扰,其中之一就是 ...

  8. Mysql存中文值乱码

    一是安装mysql时,其中会有一个步骤选择编码方式,此时选择gbk即可.如果不选择,默认的编码是latin1: 二是在安装玩mysql之后,手动修改其配置文件,如下: (1)修改 MySql安装目录下 ...

  9. (zz)linux awk

    博文转载自http://www.cnblogs.com/ggjucheng/archive/2013/01/13/2858470.html 谢谢原作者.条理很清楚,由浅入深.敲了每一行命令,正确无误. ...

  10. Github.com的Git和TortoiseGit图文教程

    图文介绍Windows系统下使用 Github账户 + msysgit + TortoiseGit 进行文件管理的方法. 安装 安装mysysgit 下载地址:msysgit 安装过程: 0.启动 1 ...