宏CONTAINING_RECORD的计算解析

最新推荐文章于 2024-12-19 10:36:40 发布
最新推荐文章于 2024-12-19 10:36:40 发布
阅读量3k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: MFC学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/QSCJOB/article/details/8964531
本文介绍宏CONTAINING_RECORD的使用方法,通过实例演示如何根据结构体成员指针定位到整个结构体的指针。文章详细解释了宏的内部计算逻辑,并提供了完整的测试代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// 宏CONTAINING_RECORD的计算解析
// 宏CONTAINING_RECORD的作用是根据结构体中的某成员的指针来推算出该结构体的指针!
#include "stdafx.h"
#include <iostream>
#include <Windows.h>
using namespace std;


#define CONTAINING_RECORD(address, type, field) ((type *)( \
(PCHAR)(address) - \
(ULONG_PTR)(&((type *)0)->field)))


// 命名含义:
// cr:CONTAINING_RECORD 
// Test:用来测试的
struct crTest
{
int m_nVal;
double m_dVal;
char m_cVal;
};








int main()
{
crTest cr;


// 现在假设我们知道了m_dVal的地址
PCHAR p = (PCHAR)(&cr.m_dVal);
cout << "cr.m_dVal=" << &cr.m_dVal << endl;


// 假设m_dVal在crTest中的偏移量为dLen,那么:
// &cr = &cr.m_dVal - dLen




// 如何求dLen呢
// 我们可以假设crTest的一个对象的地址值为0,这样就可以计算m_dVal的偏移量了
// 这个时候m_dVal的地址值实际就是偏移量
cout << "cr.m_dVal Offset=" << &(((crTest*)0)->m_dVal) << endl;


// 我们应该把他的偏移量转换成数字来计算,其实用int, unsigned, long都可以,不过为了防止偏移量过大溢出,所以用unsigned long
// 为什么要加上(crTest*)?后面解释
cout << "Calc one &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (unsigned long)&(((crTest*)0)->m_dVal)) << endl;


// 为了64位32为的兼容性,我们应该用ULONG_PTR
cout << "Calc two &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal)) << endl;

// 好了,解释下前面为什么加(crTest*),看下不加(crTest*)的结果
cout << "Calc two &cr=" << (PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal) << endl;


// 乱码了,其实是cout的问题,没法正确解析,
printf("%p\n", (PCHAR)&cr);


// 为了保险终极结果
cout << "Calc &cr=" << (crTest*)((PCHAR)&cr.m_dVal - (ULONG_PTR)&(((crTest*)0)->m_dVal)) << endl;


// 对比是否正确
cout << "&cr=" << &cr << endl;

// 结束了?等等,试下CONTAINING_RECORD
cout << "CONTAINING_RECORD = " << CONTAINING_RECORD(&cr.m_dVal, crTest, m_dVal);
system("pause");
return 0;
}
CONTAINING_RECORD
深海狂鲨
09-05 5491
CONTAINING_RECORD 这样的一个,我看了它的定义,如下:#define CONTAINING_RECORD(address, type, field) ((type *)( (PCHAR)(address) - (ULONG_PTR)(&((type*)0)->field)))class A{      char c;      int a;      short b;}int a = 100;int *pInt = &a;比如,我调用了 CONTAINING_RECORD(pInt,A,a
CONTAINING_RECORD的详细解释
zxy355的专栏
11-04 391
我对CONTAINING_RECORD的详细解释 标签: C语言, 结构体 日期: 2013-01-07 分类: C&C++ 字号:  CONTAINING_RECORD 的用处其实还是相当大的, 而且很是方便, 它的主要作用是:根据结构体中的某成员的地址来推算出该结构体整体的地址! 下面从一个简单的例子开始说起, 我们定义一个结构体, 同时类型化: typedef stru
Windows 经典的——CONTAINING_RECORD
JINKAI
03-26 748
在windows ddk中提供了一个经典的,其定义如下: #define CONTAININT_RECORD(address, type, field) /              ((type*)((PCHAR)(address) - (PCHAR)(&((type*)0)->field))) 这个用于取得内存中任何结构体的首地址,要提供的参数是:结构体中某个成员(field)的地址
海山数据库(He3DB)源码详解:海山Mysql 崩溃恢复(2)-日志解析
于巍,花名漠雪,移动云数据库技术委员会主任,海山数据库研发负责人,PG中文社区常委,PG中文社区海外联络人。15年数据库内核研发经验,4年美国、以色列等海外研发经历,华为GaussDB、阿里云PolarDB、移动云He3DB等核心架构
12-19 1019
MySQL redo日志崩溃恢复整体流程如图所示,本文将针对日志解析过程中涉及到的几个函数源码进行详细解析
WRK_内核读取全部进程_调研报告
04-11
例如,如果我们有一个指向EPROCESS结构体中ActiveProcessLinks成员的指针,我们可以通过CONTAINING_RECORD得到EPROCESS结构体的首地址。的参数包括地址address(ActiveProcessLinks的地址)、类型type(EPROCESS...
CONTAINING_RECORD
dingbianping4275的博客
05-08 151
CONTAINING_RECORD 这样的一个,我看了它的定义,如下:#define CONTAINING_RECORD(address, type, field) ((type *)( (PCHAR)(address) - (ULONG_PTR)(&((type*)0)->field)))class A{ char c; int a; s...
CONTAINING_RECORD IN EFI
Dig into computer system.
10-06 7745
CONTAINING_RECORD IN EFI EFI BIOS几乎全部用C完成,它几乎将C语言的各种技巧发挥到了极致。C的精髓泰半是指针,另外也是非常值得称道的。程序员对于的评价可谓褒贬不一,有人说它是万恶之源,有人则赞其为一把利刃。我个人觉得运用之妙,存乎一心,不是万能的,但是有一些场合使用确实可以大大的提高程序的可读性,有些跨平台的特性离开了还真是不行。_CR是EFI之中
CONTAINING_RECORD分析
KpSimple的博客
12-18 279
CONTAINING_RECORD欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入...
我对CONTAINING_RECORD的详细解释
weixin_33919941的博客
01-07 302
tfref   CONTAINING_RECORD的用处其实还是相当大的, 而且很是方便, 它的主要作用是:    根据结构体中的某成员的地址来推算出该结构体整体的地址!  下面从一个简单的例子开始说起:  我们定义一个结构体, 同时类型化: typedef struct{ int a; int b; int c; }ss;   这是一个很简单的结构...
Windows DDK中经典的——CONTAINING_RECORD
oshirdey的专栏
04-03 746
#define CONTAINING_RECORD(address, type, field) ((type *)( \                                                   (PCHAR)(address) - \                                                   (ULONG_PTR)(&((t
C++小技巧之CONTAINING_RECORD
04-19 721
CONTAINING_RECORD Containing record是一个在C++编程中用处很大的一种技巧,它的功能为已知结构体或类的某一成员、对象中该成员的地址以及这一结构体名或类名,从而得到该对象的基地址。 由于写法简单,它被当做一个来使用,写法是这样的。 #define CONTAINING_RECORD(address,type,field) \ ((type*)((PCHA...
InsertHeadList和CONTAINING_RECORD
※一路风尘※
03-29 614
LIST_ENTRY定义一个双向链表的数据结构: typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; struct _LIST_ENTRY *Blink; } LIST_ENTRY, *PLIST_ENTRY;  由函数InitializeListHead (BUEList)进行初始化。 假设需要插入某个数据...
CONTAINING_RECORD
憧憬,思考,奋斗,飞翔
11-02 175
已知类或结构体成员变量的地址,可以取得类或结构体对象的地址
CONTAINING_RECORD解析
輚至消亡
10-07 949
CONTAINING_RECORD内容 这里分析一下这个CONTAINING_RECORD,该的作用是通过结构体类型内部某一成员的位置来获取该结构体的位置。结构体内容如下: // // Calculate the address of the base of the structure given its type, and an // address of a field within the structure. // #define CONTAINING_RECORD(address, t
CONTAINING_RECORD原理与使用详解
百里杨的博客
10-23 3077
先不急着说CONTAINING_RECORD,我们从最浅显的代码开始讲解。 一、0指针的妙用 0指针,即nullptr、NULL,空指针,是不是很常见,一遇到它往往就是segment fault。代码,如下: struct Test { int a; float b; }; Test* pTest = nullptr; int a_value = pTest->a; // segment fault int b_value = pTest->b; // segment fau
C++ CONTAINING_RECORD 操作技巧学习
bcbobo21cn的专栏
01-21 674
C++ 的CONTAINING_RECORD
CONTAINING_RECORD的实现原理
热门推荐
while(1) { smile(); }
12-14 9万+
在使用windows完成端口时,会使用到CONTAINING_RECORD,该的作用就是:根据结构体中的某成员的地址来推算出该结构体整体的地址,相当于一个万能公式。 下面代码的注释中,讲解了该的实现原理。 #include #include int main() { struct T { int a; int b;
遍历链表详细和我说说
最新发布
03-04
<think>嗯,用户之前让我提供通过PEB结构获取kernel32.dll基地址的代码,现在他问的是“遍历链表详细和说说”。看来他对代码中的链表遍历部分不太明白,需要更详细的解释。首先,我需要回忆一下PEB结构中的模块链表是如何组织的。 在之前的代码中,我们通过PEB_LDR_DATA访问了InMemoryOrderModuleList链表,这个链表里存放的是LDR_DATA_TABLE_ENTRY结构。用户可能对链表的结构、遍历方式以及如何通过CONTAINING_RECORD找到入口点有疑问。 用户可能不太清楚为什么链表遍历要用到Flink和Blink,或者为什么循环条件是pListEntry != pListHead。需要解释LIST_ENTRY的结构,以及Windows内核中双向链表的常见实现方式。 另外,CONTAINING_RECORD的作用可能也需要详细说明,特别是结构体成员偏移的计算方法,用户可能对如何从链表节点获取整个结构体的指针感到困惑。 还需要解释代码中的循环步骤,比如如何移动到下一个节点,如何检查模块名称,以及为什么比较字符串时要使用Unicode字符串的长度和逐个字符比较。用户可能对安全比较函数的设计和必要性感兴趣,特别是为什么需要不区分大小写。 另外,用户可能想知道这种遍历方法在x86和x64架构下是否有差异,是否需要特别注意指针的大小或者对齐问题。虽然代码中使用了条件编译,但可能需要进一步解释不同架构下的内存布局是否影响链表遍历。 还有可能用户对链表遍历的安全性有疑问,比如如果链表损坏或者被钩子(hook)了怎么办,这时候是否需要异常处理或者其他防御措施。之前的注意事项里提到了异常处理,可能需要展开说明。 可能还需要对比其他获取模块基址的方法,比如使用GetModuleHandle,但这里的方法有什么优势,比如不需要调用API,适合shellcode等场景。用户可能想了解为什么选择这种方法而不是更简单的API调用。 最后,用户的应用场景可能涉及安全研究或逆向工程,所以需要强调这种方法的实际应用和潜在问题,比如结构体偏移变化导致的问题,如何动态计算偏移等。这部分在之前的回答中有提到,但可能需要更详细的例子或说明。 总结来说,用户需要链表遍历的详细步骤、结构体成员的作用、的工作原理、安全性考虑以及实际应用中的注意事项。需要分步骤解释,用简单明了的语言,避免过多术语,同时结合代码示例中的具体实现来说明每个部分的作用。</think>好的,我将详细解释Windows PEB中模块链表的遍历原理和实现细节,并用中文分步骤说明: --- ### **一、链表结构基础** 在PEB结构中,模块信息通过**双向循环链表**存储,关键结构如下: #### 1. `LIST_ENTRY` 结构(链表节点) ```c typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; // 前向指针(Forward Link) struct _LIST_ENTRY *Blink; // 后向指针(Backward Link) } LIST_ENTRY, *PLIST_ENTRY; ``` - **作用**:构成双向链表的连接节点 - **特点**:每个链表节点都嵌入在更大的结构体中(如`LDR_DATA_TABLE_ENTRY`) #### 2. `LDR_DATA_TABLE_ENTRY` 结构 ```c struct _LDR_DATA_TABLE_ENTRY { // ...其他字段 LIST_ENTRY InMemoryOrderLinks; // 链表节点位置 ← 关键字段 PVOID DllBase; // 模块基地址 UNICODE_STRING BaseDllName; // 模块名称(如"kernel32.dll") // ...其他字段 }; ``` - **关键点**:链表节点`InMemoryOrderLinks`是结构体的成员,通过它定位整个结构体 --- ### **二、链表遍历步骤详解** #### 步骤1:获取链表头 ```c PLIST_ENTRY pListHead = &pLdr->InMemoryOrderModuleList; ``` - `InMemoryOrderModuleList`是链表头 - **链表特性**:链表头本身是一个`LIST_ENTRY`结构,但`Flink`指向第一个实际节点 #### 步骤2:初始化遍历指针 ```c PLIST_ENTRY pListEntry = pListHead->Flink; // 第一个有效节点 ``` #### 步骤3:循环遍历链表 ```c while (pListEntry != pListHead) { // 循环终止条件 // ① 通过链表节点获取包含它的完整结构体 PLDR_DATA_TABLE_ENTRY pEntry = CONTAINING_RECORD( pListEntry, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks ); // ② 处理当前模块(例如检查名称) if (CompareUnicodeString(&pEntry->BaseDllName, L"kernel32.dll")) { return pEntry->DllBase; } // ③ 移动到下一个节点 pListEntry = pListEntry->Flink; } ``` --- ### **三、关键技术解析** #### 1. `CONTAINING_RECORD` - **作用**:通过结构体成员的地址反推结构体起始地址 - **计算公式**: ```c #define CONTAINING_RECORD(ptr, type, member) \ ((type*)((ULONG_PTR)(ptr) - (ULONG_PTR)&((type*)0)->member)) ``` - **示例**: ```c // 假设: // - pListEntry 是某LDR_DATA_TABLE_ENTRY中InMemoryOrderLinks的地址 // - InMemoryOrderLinks在结构体中的偏移量为0x10 // 则结构体基地址 = pListEntry - 0x10 ``` #### 2. 双向链表遍历逻辑 - **循环终止条件**:`pListEntry != pListHead` - 因为这是**循环链表**,当指针回到链表头时结束遍历 - **遍历方向**: - `Flink`向前遍历(加载顺序) - `Blink`向后遍历(可用于反向验证) --- ### **四、内存布局示意图** ``` PEB_LDR_DATA ┌───────────────────────┐ │ InMemoryOrderModuleList │ ← 链表头(LIST_ENTRY) │ (Flink)─────────────┐│ └───────────────────────┘│ │ ▼ LDR_DATA_TABLE_ENTRY 1 │ ┌───────────────────────┬┘ │ InMemoryOrderLinks │ │ Flink ──────────────┐ │ Blink │ ├───────────────────────┤ │ DllBase │ ← 目标值1 │ BaseDllName │ └───────────────────────┘ │ ▼ LDR_DATA_TABLE_ENTRY 2 ┌───────────────────────┐ │ InMemoryOrderLinks │ │ Flink ──────────────┐ │ Blink │ ├───────────────────────┤ │ DllBase │ ← 目标值2 │ BaseDllName │ └───────────────────────┘ ``` --- ### **五、防御性编程要点** #### 1. 有效性检查 ```c if (!pLdr) return NULL; // 检查PEB_LDR_DATA是否有效 if (!pEntry->DllBase) continue; // 可选:检查基地址有效性 ``` #### 2. 防崩溃措施 ```c __try { // 访问可能无效的内存区域 if (CompareUnicodeString(...)) {...} } __except(EXCEPTION_EXECUTE_HANDLER) { continue; // 跳过异常节点 } ``` #### 3. 反检测技巧 - **替代字符串比对**:使用预计算哈希值 ```c DWORD dwHash = CalcDllHash(pEntry->BaseDllName.Buffer); if (dwHash == KERNEL32_HASH) {...} ``` --- ### **六、实际调试技巧** 1. **查看链表内容**(Windbg): ``` dt _PEB_LDR_DATA @$peb->Ldr !list -x "dt _LDR_DATA_TABLE_ENTRY" @$peb->Ldr->InMemoryOrderModuleList ``` 2. **偏移验证**: ```c // 检查结构体偏移是否匹配 assert(offsetof(LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks) == 0x10); ``` --- 通过这种链表遍历方式,我们可以不依赖任何API直接获取系统模块信息,这在底层开发和安全研究中非常有用。理解这个机制是掌握Windows内存结构的重要一步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值