关于LDR的疑问与探索

最新推荐文章于 2025-06-22 00:25:18 发布
最新推荐文章于 2025-06-22 00:25:18 发布
阅读量2.2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 内核安全 文章标签: module LDR 进程链 LDR-MODULE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Nightsay/article/details/46238953
本文探讨了Windows系统中LDR_MODULE结构及其与PEB_LDR_DATA中的三个链表InLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList的关系。通过实例分析,揭示了链表遍历的问题,并解释了不同链表在加载和初始化顺序上的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前学习断链的时候了解到了LDR,最近考试周刚过比较闲,就整理了一下当时学习过程中的笔记,很基础的文章。

在windows中,每一个模块(exe,dll)对应了一个LDR_MODULE,这个模块是让系统认识到每个模块的存在,在获取模块基址,获取api地址用的很多,进而可以用来隐藏模块,编写外壳程序等……

关于结构LDR_MODULE的定义:

typedef struct _LDR_MODULE 
{ 
    LIST_ENTRY InLoadOrderModuleList; //按加载模块顺序构成的模块链表
    LIST_ENTRY InMemoryOrderModuleList; //按内存顺序的模块链表
    LIST_ENTRY InInitializationOrderModuleList; //按初始化顺序的模块链表
    PVOID BaseAddress; //模块的基地址
    PVOID EntryPoint; //模块的入口
    ULONG SizeOfImage; //模块镜像大小
    UNICODE_STRING FullDllName; //路径名
    UNICODE_STRING BaseDllName; //模块名
    ULONG Flags; 
    SHORT LoadCount; //引用计数
    SHORT TlsIndex; 
    LIST_ENTRY HashTableEntry; 
    ULONG TimeDateStamp; 
} LDR_MODULE, *PLDR_MODULE;

而后来我在查看PEB_LDR_DATA结构的时候:

typedef struct _PEB_LDR_DATA
{ 
    ULONG Length; 
    BOOLEAN Initialized; 
    HANDLE SsHandle; 
    LIST_ENTRY InLoadOrderModuleList; 
    LIST_ENTRY InMemoryOrderModuleList; 
    LIST_ENTRY InInitializationOrderModuleList; 
    PVOID EntryInProgress; 
} PEB_LDR_DATA, *PPEB_LDR_DATA;

也发现了这三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList
那么这三个链表存在于两个结构中,到底有和对应的关系呢?

编写了一个程序helloworld.exe,windbg载入:

0:000> !peb
PEB at 7efde000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         01000000
   ..........

0:000> dt _PEB 7efde000
ntdll!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''
   +0x003 BitField         : 0x8 ''
   +0x003 ImageUsesLargePages : 0y0
   +0x003 IsProtectedProcess : 0y0
   +0x003 IsLegacyProcess  : 0y0
   +0x003 IsImageDynamicallyRelocated : 0y1
   +0x003 SkipPatchingUser32Forwarders : 0y0
   +0x003 SpareBits        : 0y000
   +0x004 Mutant           : 0xffffffff Void
   +0x008 ImageBaseAddress : 0x01000000 Void
   +0x00c Ldr              : 0x77d90200 _PEB_LDR_DATA
   +0x010 ProcessParameters : 0x00421918 _RTL_USER_PROCESS_PARAMETERS
    ..................

0:000> dt  _PEB_LDR_DATA 0x77d90200
ntdll!_PEB_LDR_DATA
   +0x000 Length           : 0x30
   +0x004 Initialized      : 0x1 ''
   +0x008 SsHandle         : (null) 
   +0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x593510 - 0x5941a8 ]
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY [ 0x593518 - 0x5941b0 ]
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY [ 0x5935b0 - 0x5941b8 ]
   +0x024 EntryInProgress  : (null) 
   +0x028 ShutdownInProgress : 0 ''
   +0x02c ShutdownThreadId : (null) 



0:000> dt _LDR_DATA_TABLE_ENTRY 0X593510
ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x5935a0 - 0x77d9020c ]
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0x5935a8 - 0x77d90214 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x018 DllBase          : 0x01360000 Void
   +0x01c EntryPoint       : 0x0137110e Void
   +0x020 SizeOfImage      : 0x1c000
   +0x024 FullDllName      : _UNICODE_STRING "F:\helloworld.exe"
   +0x02c BaseDllName      : _UNICODE_STRING "helloworld.exe"
   +0x034 Flags            : 0x4000
   +0x038 LoadCount        : 0xffff
   +0x03a TlsIndex         : 0
   +0x03c HashLinks        : _LIST_ENTRY [ 0x77d948a0 - 0x77d948a0 ]
   +0x03c SectionPointer   : 0x77d948a0 Void
   +0x040 CheckSum         : 0x77d948a0
   +0x044 TimeDateStamp    : 0x548284c9
   +0x044 LoadedImports    : 0x548284c9 Void
   +0x048 EntryPointActivationContext : (null) 
   +0x04c PatchInformation : (null) 
   +0x050 ForwarderLinks   : _LIST_ENTRY [ 0x593560 - 0x593560 ]
   +0x058 ServiceTagLinks  : _LIST_ENTRY [ 0x593568 - 0x593568 ]
   +0x060 StaticLinks      : _LIST_ENTRY [ 0x594288 - 0x594260 ]
   +0x068 ContextInformation : 0x77ccc984 Void
   +0x06c OriginalBase     : 0
   +0x070 LoadTime         : _LARGE_INTEGER 0x0

可以看到windbg中的_LDR_DATA_TABLE_ENTRY就是对应着LDR_MODULE结构,三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList都分别对应着各自的LDR_MODULE结构
用图来表示如下
这里写图片描述
由该图可知,三个链表结构被PEB_LDR_DATA和LDR_MODULE结构共用

这里写图片描述

那么这三个链表InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList又都有什么区别呢?

用上面那个测试程序:
InLoadOrderModuleList 加载模块顺序构成的模块链表进行调试

//针对0x593510链表的flink进行遍历
+0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x593510 - 0x5941a8 ]
..................

0:000> dt _LIST_ENTRY 0X593510
ntdll!_LIST_ENTRY
 [ 0x5935a0 - 0x77d9020c ]
   +0x000 Flink            : 0x005935a0 _LIST_ENTRY [ 0x593920 - 0x593510 ]
   +0x004 Blink            : 0x77d9020c _LIST_ENTRY [ 0x593510 - 0x5941a8 ]

0:000> dt _LIST_ENTRY 0X5935a0
ntdll!_LIST_ENTRY
 [ 0x593920 - 0x593510 ]
   +0x000 Flink            : 0x00593920 _LIST_ENTRY [ 0x593a38 - 0x5935a0 ]
   +0x004 Blink            : 0x00593510 _LIST_ENTRY [ 0x5935a0 - 0x77d9020c ]

0:000> dt _LIST_ENTRY 0X593920
ntdll!_LIST_ENTRY
 [ 0x593a38 - 0x5935a0 ]
   +0x000 Flink            : 0x00593a38 _LIST_ENTRY [ 0x5941a8 - 0x593920 ]
   +0x004 Blink            : 0x005935a0 _LI
最低0.47元/天 解锁文章

200万优质内容无限畅学
24、蓝牙赋能的智能家居自动化系统探索
lemon的博客
07-23 10
本文探讨了蓝牙赋能的智能家居自动化系统,介绍了基于蓝牙模块(如HC-05)和多种先进技术(如Wi-Fi、Li-Fi、DTW、神经网络)的家居自动化实现方式。通过Arduino、Raspberry Pi等硬件结合传感器、语音控制、手势识别和社交媒体应用,实现了对家电的远程和自动化控制。文章还分析了系统的综合优势,包括便利性、安全性和节能效果,并探讨了其面临的挑战和未来发展方向,如人工智能的深度集成和多领域融合应用。
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 872
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
关于LDR_MODULE结构
weixin_30314813的博客
07-30 588
在上一篇随笔"进程环境块PEB笔记"中,我们提到了PEB_LDR_DATA内含有三个双向链表成员(LIST_ENTRY类型),然而根据LIST_ENTRY类型的定义,它只有两个分别指向前一个和后一个LIST_ENTRY结构的指针成员,那么又是怎么得到LDR_MODULE结构的信息的呢?其实弄清楚LDR_MODULE结构的详细定义这些疑问也就会迎刃而解了. Code1...
PEB及PEB_LDR_DATA结构
BetaBin
04-20 1万+
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 typedef struct _PEB { // Size: 0x1D8 /*000*/ UCHAR InheritedAddressSpace; /*001
Windows LDR_MODULE结构体学习
最新发布
bcbobo21cn的专栏
06-22 36
Windows下每个加载到进程地址空间的模块对应一个LDR_MODULE结构体,这是系统感知用户态模块存在的依据。
进程环境块PEB笔记
weixin_30439067的博客
07-30 517
The operating system allocates a structure for every running process that can always be found at fs:[0x30] from within the process.The PEB structure holds information about the process's heaps,b...
Visual C++ 64 位迁移的常见问题
noodle123的专栏
09-05 1万+
64位的win7已经广泛、深入应用了,赶快看看我的32位程序该怎么办吧? 1、用 Visual C++ 创建在 64 位 Windows 操作系统中运行的应用程序时,应注意以下问题: 在 64 位 Windows 操作系统中,int 和 long 是 32 位值。
LDR链调试手记(TEB获取动态函数地址)
SauceJ的专栏
09-28 2607
转自看雪 LDR链调试手记    无论是编写ShellCode还是外壳程序,都需要动态的获取各个api的实际地址,最通用的方法之一,莫过于通过得到各个DLL模块的基址,再遍历其导出表。其中,获得各个模块基址中,通过PEB结构来获取的方法尤为的精简和通用。这里是我之前调试和学习时碰到的一些问题的总结,于是就有了这一篇手记。
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-24 847
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
PEB结构----枚举用户模块列表(图)
weixin_34344403的博客
03-05 184
2019独角兽企业重金招聘Python工程师标准>>> ...
漫谈兼容内核之二十三:关于TLS
周寅的专栏
03-13 2520
 TLS是“线程局部存储(Thread Local Storage)”的缩写,“Local”这个词有“局部”、“本地”的意思,所以也可以说是“线程本地存储”。顾名思义,这就是局部于唯一的线程、为具体线程所“私用、专用”的存储空间。这里所说的“空间”并不是“用户空间”、“系统空间”那个意义上的空间,而是指用户空间中个别变量、数组、或数据结构所占据的存储空间。    我们知道,线程并不独立拥有用户空间
PEB-------------模块链表Ldr
weixin_30316097的博客
07-30 770
一、xp下peb结构 kd> dt _pebntdll!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutan...
TEB/PEB定位PE文件导入导出表
w_g3366的博客
09-07 1961
文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表 TEB/PEB定位PE文件导入导出表 基本思路: TEB/PEB定位PE文件基址 通过FS寄存器找到当前的TEB 通过[TEB+0x30]找到PEB的地址 通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针 通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...
利用LdrLoadLibrary加载隐藏DLL (绕过API HOOK LoadLibrary)
热门推荐
Koma的主页
04-01 1万+
//#include "stdafx.h" #include typedef struct _UNICODE_STRING { // UNICODE_STRING structure USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING; typedef U
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4847
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 2424
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
结构体 WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3267
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
LDR断链 隐藏DLL(转载)
menglv_1978的专栏
08-15 1319
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 转载链接:https://blog.youkuaiyun.com/yoie01/article/details/11696295 typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumL...
高清动态范围图像HDRLDR对比解析
高动态范围图像(High Dynamic Range,简称HDR)低动态范围图像(Low Dynamic Range,简称LDR)是图像处理和摄影领域中的重要概念,它们分别代表了图像能够表现的亮度范围。为了深入理解这两者之间的区别、应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值