宏CONTAINING_RECORD的计算解析

本文介绍宏CONTAINING_RECORD的使用方法,通过实例演示如何根据结构体成员指针定位到整个结构体的指针。文章详细解释了宏的内部计算逻辑,并提供了完整的测试代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// 宏CONTAINING_RECORD的计算解析
// 宏CONTAINING_RECORD的作用是根据结构体中的某成员的指针来推算出该结构体的指针!
#include "stdafx.h"
#include <iostream>
#include <Windows.h>
using namespace std;


#define CONTAINING_RECORD(address, type, field) ((type *)( \
(PCHAR)(address) - \
(ULONG_PTR)(&((type *)0)->field)))


// 命名含义:
// cr:CONTAINING_RECORD 
// Test:用来测试的
struct crTest
{
int m_nVal;
double m_dVal;
char m_cVal;
};








int main()
{
crTest cr;


// 现在假设我们知道了m_dVal的地址
PCHAR p = (PCHAR)(&cr.m_dVal);
cout << "cr.m_dVal=" << &cr.m_dVal << endl;


// 假设m_dVal在crTest中的偏移量为dLen,那么:
// &cr = &cr.m_dVal - dLen




// 如何求dLen呢
// 我们可以假设crTest的一个对象的地址值为0,这样就可以计算m_dVal的偏移量了
// 这个时候m_dVal的地址值实际就是偏移量
cout << "cr.m_dVal Offset=" << &(((crTest*)0)->m_dVal) << endl;


// 我们应该把他的偏移量转换成数字来计算,其实用int, unsigned, long都可以,不过为了防止偏移量过大溢出,所以用unsigned long
// 为什么要加上(crTest*)?后面解释
cout << "Calc one &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (unsigned long)&(((crTest*)0)->m_dVal)) << endl;


// 为了64位32为的兼容性,我们应该用ULONG_PTR
cout << "Calc two &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal)) << endl;

// 好了,解释下前面为什么加(crTest*),看下不加(crTest*)的结果
cout << "Calc two &cr=" << (PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal) << endl;


// 乱码了,其实是cout的问题,没法正确解析,
printf("%p\n", (PCHAR)&cr);


// 为了保险终极结果
cout << "Calc &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal)) << endl;


// 对比是否正确
cout << "&cr=" << &cr << endl;

// 结束了?等等,试下CONTAINING_RECORD
cout << "CONTAINING_RECORD = " << CONTAINING_RECORD(&cr.m_dVal, crTest, m_dVal);
system("pause");
return 0;
}
<think>嗯,用户之前让我提供通过PEB结构获取kernel32.dll基地址的代码,现在他问的是“遍历链表详细和说说”。看来他对代码中的链表遍历部分不太明白,需要更详细的解释。首先,我需要回忆一下PEB结构中的模块链表是如何组织的。 在之前的代码中,我们通过PEB_LDR_DATA访问了InMemoryOrderModuleList链表,这个链表里存放的是LDR_DATA_TABLE_ENTRY结构。用户可能对链表的结构、遍历方式以及如何通过CONTAINING_RECORD找到入口点有疑问。 用户可能不太清楚为什么链表遍历要用到Flink和Blink,或者为什么循环条件是pListEntry != pListHead。需要解释LIST_ENTRY的结构,以及Windows内核中双向链表的常见实现方式。 另外,CONTAINING_RECORD的作用可能也需要详细说明,特别是结构体成员偏移的计算方法,用户可能对如何从链表节点获取整个结构体的指针感到困惑。 还需要解释代码中的循环步骤,比如如何移动到下一个节点,如何检查模块名称,以及为什么比较字符串时要使用Unicode字符串的长度和逐个字符比较。用户可能对安全比较函数的设计和必要性感兴趣,特别是为什么需要不区分大小写。 另外,用户可能想知道这种遍历方法在x86和x64架构下是否有差异,是否需要特别注意指针的大小或者对齐问题。虽然代码中使用了条件编译,但可能需要进一步解释不同架构下的内存布局是否影响链表遍历。 还有可能用户对链表遍历的安全性有疑问,比如如果链表损坏或者被钩子(hook)了怎么办,这时候是否需要异常处理或者其他防御措施。之前的注意事项里提到了异常处理,可能需要展开说明。 可能还需要对比其他获取模块基址的方法,比如使用GetModuleHandle,但这里的方法有什么优势,比如不需要调用API,适合shellcode等场景。用户可能想了解为什么选择这种方法而不是更简单的API调用。 最后,用户的应用场景可能涉及安全研究或逆向工程,所以需要强调这种方法的实际应用和潜在问题,比如结构体偏移变化导致的问题,如何动态计算偏移等。这部分在之前的回答中有提到,但可能需要更详细的例子或说明。 总结来说,用户需要链表遍历的详细步骤、结构体成员的作用、的工作原理、安全性考虑以及实际应用中的注意事项。需要分步骤解释,用简单明了的语言,避免过多术语,同时结合代码示例中的具体实现来说明每个部分的作用。</think>好的,我将详细解释Windows PEB中模块链表的遍历原理和实现细节,并用中文分步骤说明: --- ### **一、链表结构基础** 在PEB结构中,模块信息通过**双向循环链表**存储,关键结构如下: #### 1. `LIST_ENTRY` 结构(链表节点) ```c typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; // 前向指针(Forward Link) struct _LIST_ENTRY *Blink; // 后向指针(Backward Link) } LIST_ENTRY, *PLIST_ENTRY; ``` - **作用**:构成双向链表的连接节点 - **特点**:每个链表节点都嵌入在更大的结构体中(如`LDR_DATA_TABLE_ENTRY`) #### 2. `LDR_DATA_TABLE_ENTRY` 结构 ```c struct _LDR_DATA_TABLE_ENTRY { // ...其他字段 LIST_ENTRY InMemoryOrderLinks; // 链表节点位置 ← 关键字段 PVOID DllBase; // 模块基地址 UNICODE_STRING BaseDllName; // 模块名称(如"kernel32.dll") // ...其他字段 }; ``` - **关键点**:链表节点`InMemoryOrderLinks`是结构体的成员,通过它定位整个结构体 --- ### **二、链表遍历步骤详解** #### 步骤1:获取链表头 ```c PLIST_ENTRY pListHead = &pLdr->InMemoryOrderModuleList; ``` - `InMemoryOrderModuleList`是链表头 - **链表特性**:链表头本身是一个`LIST_ENTRY`结构,但`Flink`指向第一个实际节点 #### 步骤2:初始化遍历指针 ```c PLIST_ENTRY pListEntry = pListHead->Flink; // 第一个有效节点 ``` #### 步骤3:循环遍历链表 ```c while (pListEntry != pListHead) { // 循环终止条件 // ① 通过链表节点获取包含它的完整结构体 PLDR_DATA_TABLE_ENTRY pEntry = CONTAINING_RECORD( pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks ); // ② 处理当前模块(例如检查名称) if (CompareUnicodeString(&pEntry->BaseDllName, L"kernel32.dll")) { return pEntry->DllBase; } // ③ 移动到下一个节点 pListEntry = pListEntry->Flink; } ``` --- ### **三、关键技术解析** #### 1. `CONTAINING_RECORD` - **作用**:通过结构体成员的地址反推结构体起始地址 - **计算公式**: ```c #define CONTAINING_RECORD(ptr, type, member) \ ((type*)((ULONG_PTR)(ptr) - (ULONG_PTR)&((type*)0)->member)) ``` - **示例**: ```c // 假设: // - pListEntry 是某LDR_DATA_TABLE_ENTRY中InMemoryOrderLinks的地址 // - InMemoryOrderLinks在结构体中的偏移量为0x10 // 则结构体基地址 = pListEntry - 0x10 ``` #### 2. 双向链表遍历逻辑 - **循环终止条件**:`pListEntry != pListHead` - 因为这是**循环链表**,当指针回到链表头时结束遍历 - **遍历方向**: - `Flink`向前遍历(加载顺序) - `Blink`向后遍历(可用于反向验证) --- ### **四、内存布局示意图** ``` PEB_LDR_DATA ┌───────────────────────┐ │ InMemoryOrderModuleList │ ← 链表头(LIST_ENTRY) │ (Flink)─────────────┐│ └───────────────────────┘│ │ ▼ LDR_DATA_TABLE_ENTRY 1 │ ┌───────────────────────┬┘ │ InMemoryOrderLinks │ │ Flink ──────────────┐ │ Blink │ ├───────────────────────┤ │ DllBase │ ← 目标值1 │ BaseDllName │ └───────────────────────┘ │ ▼ LDR_DATA_TABLE_ENTRY 2 ┌───────────────────────┐ │ InMemoryOrderLinks │ │ Flink ──────────────┐ │ Blink │ ├───────────────────────┤ │ DllBase │ ← 目标值2 │ BaseDllName │ └───────────────────────┘ ``` --- ### **五、防御性编程要点** #### 1. 有效性检查 ```c if (!pLdr) return NULL; // 检查PEB_LDR_DATA是否有效 if (!pEntry->DllBase) continue; // 可选:检查基地址有效性 ``` #### 2. 防崩溃措施 ```c __try { // 访问可能无效的内存区域 if (CompareUnicodeString(...)) {...} } __except(EXCEPTION_EXECUTE_HANDLER) { continue; // 跳过异常节点 } ``` #### 3. 反检测技巧 - **替代字符串比对**:使用预计算哈希值 ```c DWORD dwHash = CalcDllHash(pEntry->BaseDllName.Buffer); if (dwHash == KERNEL32_HASH) {...} ``` --- ### **六、实际调试技巧** 1. **查看链表内容**(Windbg): ``` dt _PEB_LDR_DATA @$peb->Ldr !list -x "dt _LDR_DATA_TABLE_ENTRY" @$peb->Ldr->InMemoryOrderModuleList ``` 2. **偏移验证**: ```c // 检查结构体偏移是否匹配 assert(offsetof(LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks) == 0x10); ``` --- 通过这种链表遍历方式,我们可以不依赖任何API直接获取系统模块信息,这在底层开发和安全研究中非常有用。理解这个机制是掌握Windows内存结构的重要一步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值