WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)

最新推荐文章于 2024-09-22 18:37:26 发布
最新推荐文章于 2024-09-22 18:37:26 发布
阅读量2.5k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baidu_36226689/article/details/70214764
本文详细解析了 LDR_DATA_TABLE_ENTRY 结构,在 x86 和 x64 架构下的定义及其组成元素,包括 DLL 基地址、入口点等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

typedef struct _LDR_DATA_TABLE_ENTRY
{
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID      DllBase;
PVOID      EntryPoint;
ULONG32    SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
UINT32   Unknow[17];

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

//x86





typedef struct _LDR_DATA_TABLE_ENTRY
{
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID      DllBase;
PVOID      EntryPoint;
ULONG32    SizeOfImage;
UINT8      Unknow0[0x4];
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

//x64



【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】013 - arch\arm\lib\crt0_64.S 汇编源码逐行详解
|~~~热爱生活、努力学习的小伙汁~~~|
06-30 516
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】013 - arch\arm\lib\crt0_64.S 汇编源码逐行详解
从零开始之uboot、移植uboot2017.01(七、board_init_r分析)
To_run_away的博客
08-18 8285
上一节已经分析到了uboot的board_init_r函数,并且把两个参数传递给它 /* call board_init_r(gd_t *id, ulong dest_addr) */ /* gd的 地址和 当前新的uboot的起始地址传参给board_init_r */ mov r0, r9 /* gd_t */ ldr r1, [r...
结构WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
07-29 3276
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    SizeOfIm...
_LDR_DATA_TABLE_ENTRY结构
weixin_41693985的博客
12-22 1468
_LDR_DATA_TABLE_ENTRY结构
结构体 struct _LDR_DATA_TABLE_ENTRY c++ xp3 win7 64
07-29 1842
@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600) lkd> dt -b _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY       +0x000 Flink            : P...
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1182
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
_LDR_DATA_TABLE_ENTRY 遍历
ndl1302732的专栏
09-28 1731
    #include "stdafx.h" #include <stdlib.h> #include <Windows.h> #include <Ntsecapi.h>    //for unicode_string typedef _LIST_ENTRY *PLIST_ENTRY; void ShowModuleInfo(PLIST_ENTR...
x86: perf_events内核初始化
大昱的博客
08-20 1729
Linux性能计数器的使用(perf_events)可能会带来泄露受监控进程访问的敏感数据的巨大风险。在直接使用perf_events系统调用API的情况下,数据泄露都是可能的以及由perf工具用户模式实用程序(perf)生成的数据文件风险取决于perf_events性能监控单元(PMU)的数据的性质和perf收集并公开以进行性能分析。收集的系统和性能数据可分为以下几类尔“架构性能监控”CPUID检测/枚举详细信息struct {} split;};cpu_hw_events CPU硬件事件/**//*
Linux 5.0在start_kernel之前做了什么事?(以aarch64为例)
遇事不决,问春风
09-22 1024
之前在研究Linux内核源码的时候总是找不到关于这部分源码的相关剖析,要么也是模棱两可的,也有一些比较专业的代码分析,不过比较分散,感觉大家都不太喜欢这部分代码,正好今天周末,这段时间也在学习Arm64汇编,以这部分为研究对象来解析
从零开始之uboot、移植uboot2017.01(五、board_init_f分析)
To_run_away的博客
08-16 7887
接着第四节的继续分析,下面的是整个uboot前半部分的核心。 /* * entry point of crt0 sequence */ ENTRY(_main) /* * Set up initial C runtime environment and call board_init_f(0). */ #if defined(CONFIG_SPL_BUILD) &&am...
DriverObject->DriverSection结构LDR_DATA_TABLE_ENTRY中的结构
kfysck
11-11 5809
DriverObject->DriverSection输出出来是以下结构体   kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY    +0x000 InLoadOrderLinks : _LIST_ENTRY    +0x008 InMemoryOrderLinks : _LIST_ENTRY    +0x010 InInit
LDR_DATA_TABLE_ENTRY结构得不到完整路径?
weixin_30381317的博客
04-05 467
PLDR_DATA_TABLE_ENTRYpLdr; pLdr->FullDllName得到的是\WINDOWS\system32\ntoskrnl.exe, 而不是一个绝对路径,跟网上说的不一样啊? 转载于:https://www.cnblogs.com/hongbin/archive/2012/04/05/2433928.html...
PEB及PEB_LDR_DATA结构
07-09 705
PEB结构如下:(比MSDN上详细多了http://msdn.microsoft.com/en-us/library/windows/desktop/aa813706(v=vs.85).aspx) 这个进程环境块就不罗嗦了,直接贴代码。 [cpp] view plain copy typedef struct _PEB { // Size:
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2624
我们常常通过很多方法来获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
x64驱动 遍历驱动模块
LYSM
07-02 2624
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderL
由枚举模块到ring0内存结构 (分析NtQueryVirtualMemory)
weixin_30667649的博客
07-23 844
是由获得进程模块而引发的一系列的问题,首先,在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举,其中ZwQueryInformationProcess相当于是调用系统服务函数,其内部实现就是遍历PEB中的Moudle链表, kd> dt _PEB +0x00c Ldr...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5448
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
R0注入Dll到R3进程
被遗弃的庸才博客
12-14 2242
代码大部分都是CV(ctrl c+ctrl v)的(读书人的事情不能说抄是借鉴),注入参考的是Blackbone的代码,然后稍微改了改,经过测试能够分别注入x32和x64的进程,下面是代码。 原理也很简单,首先是附加到目标进程,获得目标进程的LdrLoadDll函数地址,申请地址空间构造函数call(x32和x64是分布进行构造的),之后获得ssdt表的NtCreateThreadEx启动构造的...
php5.2 peb 模块,WOW64通过PEB获取32/64位进程模块信息
weixin_35817602的博客
03-19 477
[C++] 纯文本查看 复制代码// ConsoleApplication6.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//#include "pch.h"#include #include "windows.h"#define NT_SUCCESS(x) ((x) >= 0)#define ProcessBasicInformation 0typedef NT...
解析代码 .global reset_got .type reset_got, %function ; .type fixup_gdt_reloc, %function ; reset_got: pie_fixup: ldr r0, =pie_fixup ldr r1, =PAGE_START_MASK and r0, r0, r1 #mov_imm r1, \_pie_fixup_size add r1, r1, r0 bl fixup_gdt_reloc /* Relocation codes */ #define R_ARM_RELATIVE 23 fixup_gdt_reloc: mov r6, r0 mov r7, r1 #if ENABLE_ASSERTIONS /* Test if the limits are 4K aligned */ orr r0, r0, r1 mov r1, #(PAGE_SIZE_MASK) tst r0, r1 ASM_ASSERT(eq) #endif /* * Calculate the offset based on return address in lr. * Assume that this function is called within a page at the start of * fixup region. */ ldr r1, =PAGE_START_MASK and r2, lr, r1 subs r0, r2, r6 /* Diff(S) = Current Address - Compiled Address */ beq 3f /* Diff(S) = 0. No relocation needed */ ldr r1, =__GOT_START__ add r1, r1, r0 ldr r2, =__GOT_END__ add r2, r2, r0 /* * GOT is an array of 32_bit addresses which must be fixed up as * new_addr = old_addr + Diff(S). * The new_addr is the address currently the binary is executing from * and old_addr is the address at compile time. */ 1: ldr r3, [r1] /* Skip adding offset if address is < lower limit */ cmp r3, r6 blo 2f /* Skip adding offset if address is > upper limit */ cmp r3, r7 bhi 2f add r3, r3, r0 str r3, [r1] 2: add r1, r1, #4 cmp r1, r2 blo 1b /* Starting dynamic relocations. Use ldr to get RELA_START and END */ 3: ldr r1, =__RELA_START__ add r1, r1, r0 ldr r2, =__RELA_END__ add r2, r2, r0 /* * According to ELF-32 specification, the RELA data structure is as * follows: * typedef struct { * Elf32_Addr r_offset; * Elf32_Xword r_info; * } Elf32_Rela; * * r_offset is address of reference * r_info is symbol index and type of relocation (in this case * code 23 which corresponds to R_ARM_RELATIVE). * * Size of Elf32_Rela structure is 8 bytes. */ /* Skip R_ARM_NONE entry with code 0 */ 1: ldr r3, [r1, #4] ands r3, r3, #0xff beq 2f #if ENABLE_ASSERTIONS /* Assert that the relocation type is R_ARM_RELATIVE */ cmp r3, #R_ARM_RELATIVE ASM_ASSERT(eq) #endif ldr r3, [r1] /* r_offset */ add r3, r0, r3 /* Diff(S) + r_offset */ ldr r4, [r3] /* Skip adding offset if address is < lower limit */ cmp r4, r6 blo 2f /* Skip adding offset if address is >= upper limit */ cmp r4, r7 bhs 2f add r4, r0, r4 str r4, [r3] 2: add r1, r1, #8 cmp r1, r2 blo 1b bx lr
最新发布
07-26
这个函数名中的“gdt”可能是指“Global Descriptor Table”(全局描述符表),但ARM架构中并没有GDT(GDT是x86架构的概念)。因此,这里可能是笔误或者特定于某个系统的术语。在ARM中,我们通常讨论的是GOT(全局...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值