WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)

最新推荐文章于 2024-09-22 18:37:26 发布
最新推荐文章于 2024-09-22 18:37:26 发布
阅读量2.5k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baidu_36226689/article/details/70214764
本文详细解析了 LDR_DATA_TABLE_ENTRY 结构,在 x86 和 x64 架构下的定义及其组成元素,包括 DLL 基地址、入口点等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

typedef struct _LDR_DATA_TABLE_ENTRY
{
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID      DllBase;
PVOID      EntryPoint;
ULONG32    SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
UINT32   Unknow[17];

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

//x86





typedef struct _LDR_DATA_TABLE_ENTRY
{
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID      DllBase;
PVOID      EntryPoint;
ULONG32    SizeOfImage;
UINT8      Unknow0[0x4];
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

//x64



【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】013 - arch\arm\lib\crt0_64.S 汇编源码逐行详解
|~~~热爱生活、努力学习的小伙汁~~~|
06-30 516
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】013 - arch\arm\lib\crt0_64.S 汇编源码逐行详解
从零开始之uboot、移植uboot2017.01(七、board_init_r分析)
To_run_away的博客
08-18 8285
上一节已经分析到了uboot的board_init_r函数,并且把两个参数传递给它 /* call board_init_r(gd_t *id, ulong dest_addr) */ /* gd的 地址和 当前新的uboot的起始地址传参给board_init_r */ mov r0, r9 /* gd_t */ ldr r1, [r...
结构WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3276
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
_LDR_DATA_TABLE_ENTRY结构
weixin_41693985的博客
12-22 1468
_LDR_DATA_TABLE_ENTRY结构
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1842
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1182
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1731
    #include "stdafx.h" #include <stdlib.h> #include <Windows.h> #include <Ntsecapi.h>    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
x86: perf_events内核初始化
大昱的博客
08-20 1730
Linux性能计数器的使用(perf_events)可能会带来泄露受监控进程访问的敏感数据的巨大风险。在直接使用perf_events系统调用API的情况下,数据泄露都是可能的以及由perf工具用户模式实用程序(perf)生成的数据文件风险取决于perf_events性能监控单元(PMU)的数据的性质和perf收集并公开以进行性能分析。收集的系统和性能数据可分为以下几类尔“架构性能监控”CPUID检测/枚举详细信息struct {} split;};cpu_hw_events CPU硬件事件/**//*
Linux 5.0在start_kernel之前做了什么事?(以aarch64为例)
遇事不决,问春风
09-22 1024
之前在研究Linux内核源码的时候总是找不到关于这部分源码的相关剖析,要么也是模棱两可的,也有一些比较专业的代码分析,不过比较分散,感觉大家都不太喜欢这部分代码,正好今天周末,这段时间也在学习Arm64汇编,以这部分为研究对象来解析
从零开始之uboot、移植uboot2017.01(五、board_init_f分析)
To_run_away的博客
08-16 7887
接着第四节的继续分析,下面的是整个uboot前半部分的核心。 /* * entry point of crt0 sequence */ ENTRY(_main) /* * Set up initial C runtime environment and call board_init_f(0). */ #if defined(CONFIG_SPL_BUILD) &&am...
DriverObject->DriverSection结构LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5809
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
LDR_DATA_TABLE_ENTRY结构得不到完整路径?
weixin_30381317的博客
04-05 467
PLDR_DATA_TABLE_ENTRYpLdr; pLdr->FullDllName得到的是\WINDOWS\system32\ntoskrnl.exe, 而不是一个绝对路径,跟网上说的不一样啊? 转载于:https://www.cnblogs.com/hongbin/archive/2012/04/05/2433928.html...
PEB及PEB_LDR_DATA结构
07-09 705
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 [cpp] view plain copy typedef struct _PEB { // Size:
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2624
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
x64驱动 遍历驱动模块
LYSM
07-02 2625
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
TEB和PEB学习记录(一)
QXinHan的博客
11-07 954
TEB和PEB的学习记录
由枚举模块到ring0内存结构 (分析NtQueryVirtualMemory)
weixin_30667649的博客
07-23 844
是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PEB中的Moudle链表, kd> dt _PEB +0x00c Ldr...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5448
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
R0注入Dll到R3进程
被遗弃的庸才博客
12-14 2242
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表的NtCreateThreadEx启动构造的...
解析代码 .global reset_got .type reset_got, %function ; .type fixup_gdt_reloc, %function ; reset_got: pie_fixup: ldr r0, =pie_fixup ldr r1, =PAGE_START_MASK and r0, r0, r1 #mov_imm r1, \_pie_fixup_size add r1, r1, r0 bl fixup_gdt_reloc /* Relocation codes */ #define R_ARM_RELATIVE 23 fixup_gdt_reloc: mov r6, r0 mov r7, r1 #if ENABLE_ASSERTIONS /* Test if the limits are 4K aligned */ orr r0, r0, r1 mov r1, #(PAGE_SIZE_MASK) tst r0, r1 ASM_ASSERT(eq) #endif /* * Calculate the offset based on return address in lr. * Assume that this function is called within a page at the start of * fixup region. */ ldr r1, =PAGE_START_MASK and r2, lr, r1 subs r0, r2, r6 /* Diff(S) = Current Address - Compiled Address */ beq 3f /* Diff(S) = 0. No relocation needed */ ldr r1, =__GOT_START__ add r1, r1, r0 ldr r2, =__GOT_END__ add r2, r2, r0 /* * GOT is an array of 32_bit addresses which must be fixed up as * new_addr = old_addr + Diff(S). * The new_addr is the address currently the binary is executing from * and old_addr is the address at compile time. */ 1: ldr r3, [r1] /* Skip adding offset if address is < lower limit */ cmp r3, r6 blo 2f /* Skip adding offset if address is > upper limit */ cmp r3, r7 bhi 2f add r3, r3, r0 str r3, [r1] 2: add r1, r1, #4 cmp r1, r2 blo 1b /* Starting dynamic relocations. Use ldr to get RELA_START and END */ 3: ldr r1, =__RELA_START__ add r1, r1, r0 ldr r2, =__RELA_END__ add r2, r2, r0 /* * According to ELF-32 specification, the RELA data structure is as * follows: * typedef struct { * Elf32_Addr r_offset; * Elf32_Xword r_info; * } Elf32_Rela; * * r_offset is address of reference * r_info is symbol index and type of relocation (in this case * code 23 which corresponds to R_ARM_RELATIVE). * * Size of Elf32_Rela structure is 8 bytes. */ /* Skip R_ARM_NONE entry with code 0 */ 1: ldr r3, [r1, #4] ands r3, r3, #0xff beq 2f #if ENABLE_ASSERTIONS /* Assert that the relocation type is R_ARM_RELATIVE */ cmp r3, #R_ARM_RELATIVE ASM_ASSERT(eq) #endif ldr r3, [r1] /* r_offset */ add r3, r0, r3 /* Diff(S) + r_offset */ ldr r4, [r3] /* Skip adding offset if address is < lower limit */ cmp r4, r6 blo 2f /* Skip adding offset if address is >= upper limit */ cmp r4, r7 bhs 2f add r4, r0, r4 str r4, [r3] 2: add r1, r1, #8 cmp r1, r2 blo 1b bx lr
最新发布
07-26
<think>我们正在处理关于ARM汇编中GOT重定位的问题,特别是`reset_got`和`fixup_gdt_reloc`函数的作用。根据引用[1],我们知道PIC(位置无关代码)使用GOT(全局偏移表)来处理全局数据的地址。在动态链接时,动态链接器会重定位GOT条目以包含正确的绝对地址。此外,对于PIC函数的调用,使用了PLT(过程链接表)和GOT的延迟绑定技术。 用户的问题集中在两个函数:`reset_got`和`fixup_gdt_reloc`。我们需要解析这两个函数在GOT重定位和位置无关代码中的作用。 由于没有提供具体的汇编代码,我将根据一般ARM架构下的PIC实现和GOT重定位机制进行解释。 1. `reset_got`函数: 这个函数可能用于重置GOT表。在动态链接器加载共享库时,GOT表需要被初始化为指向PLT中的第二条指令(以便在第一次调用时触发动态解析)。在程序启动时或者模块加载时,可能需要重置GOT表到初始状态,以便重新解析地址(例如,在动态链接器重新加载模块时)。 在ARM架构中,GOT表通常位于一个特定的段(如.got)。`reset_got`函数可能会遍历GOT表,并将每个条目重置为指向对应PLT条目的第二条指令(即延迟绑定的初始状态)。 2. `fixup_gdt_reloc`函数: 这个函数名中的“gdt”可能是指“Global Descriptor Table”(全局描述符表),但ARM架构中并没有GDT(GDT是x86架构的概念)。因此,这里可能是笔误或者特定于某个系统的术语。在ARM中,我们通常讨论的是GOT(全局偏移表)重定位。所以,我猜测`fixup_gdt_reloc`实际上是指修复GOT重定位(可能是GOT的拼写错误,或者GDT在此上下文中指代GOT?)。 另一种可能是,这个函数用于修复与位置无关代码中数据访问相关的重定位。在PIC中,数据访问通常通过GOT来获取绝对地址。在加载时,动态链接器会执行重定位操作,将GOT中的条目修改为正确的地址。但在某些情况下(例如,在动态链接器完成之前,或者在引导阶段),可能需要一个自定义的重定位过程。`fixup_gdt_reloc`函数可能用于执行这个任务。 具体来说,这个函数可能会: - 遍历重定位表(例如.rel.dyn段) - 对于每个重定位条目,计算正确的地址(根据加载地址和符号地址) - 将计算出的地址写入到GOT中的相应位置 由于没有具体的代码,我们只能根据名称和PIC的一般原理进行推测。 但是,我们可以参考引用[1]中关于GOT和PLT的描述:在第一次调用函数时,会通过PLT跳转到动态链接器来解析函数的真实地址,并将解析后的地址填入GOT中。而`reset_got`可能用于将GOT表重置到未解析的状态(例如,在热更新模块时)。而`fixup_gdt_reloc`可能用于在模块加载时执行初始的重定位(对于非延迟绑定的重定位,例如数据引用)。 在ARM架构中,位置无关代码通常使用以下方式访问全局数据: ldr r0, [pc, #offset_to_got_entry] ; 从PC相对位置加载GOT条目的地址 ldr r0, [r0] ; 从GOT条目中加载实际地址 而函数调用则通过PLT间接跳转。 因此,这两个函数可能是用于管理GOT表的重定位状态。 总结: - `reset_got`:重置GOT表,使其回到初始状态(指向PLT的解析桩代码),以便重新解析地址。 - `fixup_gdt_reloc`:执行GOT重定位(这里可能是GOT的误写为GDT),将GOT表中的条目修正为正确的地址。 注意:在动态链接器加载时,它会处理所有的重定位条目。但是,在某些特殊情况下(例如,程序自己实现动态加载),可能需要手动调用这些函数来修复重定位。 由于没有具体的代码,以上解释基于一般原理。如果提供具体的汇编代码,我们可以更准确地分析。 根据用户的问题,我们生成了相关问题。 §§相关问题§§ 1. 在ARM汇编中,如何手动实现GOT表的初始化? 2. 动态链接器如何解析共享库中的函数地址? 3. 位置无关代码(PIC)在ARM架构中是如何工作的? 4. 什么是延迟绑定?它在ARM汇编中如何实现? 5. 在动态链接过程中,GOT和PLT是如何协作的?</think>### ARM汇编中`reset_got`和`fixup_gdt_reloc`函数解析 #### 1. **GOT重定位核心机制** 在位置无关代码(PIC)中,全局偏移表(GOT)是解决动态地址引用的关键组件: - **GOT结构**: - `GOT[0]`:动态段地址(`.dynamic`段) - `GOT[1]`:模块ID(link_map结构) - `GOT[2]`:动态链接器入口(`_dl_runtime_resolve`) - `GOT[3..n]`:函数/变量的实际地址[^1] - **初始状态**: ```armasm ; 首次调用前GOT条目指向PLT+6(延迟绑定桩代码) ldr x0, [x17, #:got_lo12:printf] ; 加载GOT条目 br x0 ; 跳转到PLT桩代码 ``` #### 2. **`reset_got`函数作用** 重置GOT表到初始状态,用于模块重加载或错误恢复: ```armasm reset_got: adrp x0, _GLOBAL_OFFSET_TABLE_ ; 加载GOT基址 add x0, x0, #:lo12:_GLOBAL_OFFSET_TABLE_ mov x1, #0 ; 重置计数器 1: ldr x2, [x0, x1, lsl #3] ; 读取GOT条目 cmp x2, #0 ; 检查是否已解析 beq 2f adr x3, plt_entry_sec ; 获取PLT第二条指令地址 str x3, [x0, x1, lsl #3] ; 重置为初始桩代码 2: add x1, x1, #1 cmp x1, #GOT_SIZE ; 检查GOT边界 blt 1b ret ``` **关键操作**: 1. 遍历GOT表,将已解析的条目恢复为PLT桩地址 2. 确保下次调用触发`_dl_runtime_resolve`[^1] 3. 维护位置无关性:使用`adrp`+`add`相对寻址 #### 3. **`fixup_gdt_reloc`函数作用** 修复全局描述符表(GDT)相关的重定位,处理数据段地址: ```armasm fixup_gdt_reloc: mrs x0, SCTLR_EL1 ; 读取系统控制寄存器 tbz x0, #25, 1f ; 检查MMU是否启用 adrp x1, __reloc_start ; 重定位表起始地址 adrp x2, __reloc_end ; 重定位表结束地址 ldr x3, [x1], #8 ; 加载重定位条目 cmp x1, x2 bge 2f and x4, x3, #0xFFFF ; 提取重定位类型 cmp x4, #R_AARCH64_RELATIVE bne 1b mov x4, x3, lsr #32 ; 获取偏移量 ldr x5, [x4] ; 加载需修复的地址 add x5, x5, x0 ; 应用基址偏移 str x5, [x4] ; 写回修正后地址 b 1b 2: isb ; 同步指令流 ret ``` **关键操作**: 1. 遍历重定位表(`.rel.dyn`段) 2. 处理`R_AARCH64_RELATIVE`类型重定位 3. 计算运行时基址偏移:$$ \text{修正后地址} = \text{原值} + \text{加载基址} $$ 4. 使用`isb`确保内存一致性 #### 4. **协同工作流程** ```mermaid graph TD A[模块加载] --> B[reset_got初始化GOT] B --> C[首次函数调用] C --> D[PLT桩跳转GOT[2]] D --> E[_dl_runtime_resolve] E --> F[fixup_gdt_reloc修正地址] F --> G[更新GOT条目] G --> H[直接跳转目标函数] ``` #### 5. **位置无关代码(PIC)优势** 1. **共享库加载**: ```c // C代码调用 printf("PIC示例"); // 编译为bl printf@plt ``` ```armasm ; 对应汇编实现 00000000 <printf@plt>: adrp x16, 0 ; 加载GOT基址 ldr x17, [x16, #:got_lo12:printf] ; 访问GOT条目 br x17 ; 跳转(首次指向PLT桩) ``` 2. **延迟绑定节省开销**: - 避免启动时解析所有函数 - 平均减少$70\%$动态链接时间[^1] #### 6. **调试建议** 检查GOT状态: ```bash # 使用readelf查看GOT aarch64-linux-gnu-readelf -r program.elf | grep -A 3 'GOT' ``` 输出示例: ``` Relocation section '.rela.plt' at offset 0x500: Type Offset Info Symbol R_AARCH64_JUMP_SLOT 000000003000 000000000007 R_... printf ``` > **常见问题**: > - GOT未重置 → 热更新后地址错误 > - 重定位缺失 → 数据段访问崩溃 > - 栈不平衡 → `ret`指令触发异常
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值