核态获取PsLoadedModuleList地址的稳定方法

最新推荐文章于 2024-09-30 13:31:42 发布
原创 最新推荐文章于 2024-09-30 13:31:42 发布 · 6.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#table #windows #struct #null #list #string

本文介绍了在Windows环境下,如何在内核态稳定地获取PsLoadedModuleList地址的方法,此链表包含了系统加载的所有内核模块信息,对于AntiRootkit等应用场景至关重要。文中提供了具体的实现代码,并针对不同版本的Windows系统进行了测试。
    PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,这些信息可用在AntiRootkit等方面。
    由于Windows 2003 Server SP1开始不再支持用户态访问Physical Memory,所以我这介绍一种在内核态获取PsLoadedModuleList地址的稳定方法。次方法已在Windows XP SP2和Windows 2003 SP1下测试通过。
    代码如下:
   

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    union {
        LIST_ENTRY HashLinks;
        struct {
            PVOID SectionPointer;
            ULONG CheckSum;
        };
    };
    union {
        struct {
            ULONG TimeDateStamp;
        };
        struct {
            PVOID LoadedImports;
        };
    };
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

extern PLIST_ENTRY g_PsLoadedModuleList   ;
PLIST_ENTRY FindPsLoadedModuleList (IN PDRIVER_OBJECT DriverObject)
{
    PLDR_DATA_TABLE_ENTRY pModuleCurrent = NULL;
    PLDR_DATA_TABLE_ENTRY PsLoadedModuleList = NULL;

    if (DriverObject == NULL)
        return 0;

    pModuleCurrent = *((PLDR_DATA_TABLE_ENTRY*)(DriverObject->DriverSection));
    if (pModuleCurrent == NULL)
        return 0;

    PsLoadedModuleList = pModuleCurrent;

    while ((PLDR_DATA_TABLE_ENTRY)pModuleCurrent->InLoadOrderLinks.Flink != PsLoadedModuleList)
    {
        if (((pModuleCurrent->SizeOfImage == 0x00000000)
              && (pModuleCurrent->FullDllName.Length == 0))
              || (pModuleCurrent->FullDllName.Buffer == NULL))
        {
            return (PLIST_ENTRY) pModuleCurrent;
        }

         pModuleCurrent = (PLDR_DATA_TABLE_ENTRY)pModuleCurrent->InLoadOrderLinks.Flink;
    }

    return NULL;
}

    我在测试中发现了这样一个有趣的现象,在Windows 2003 Server SP1下PsLoadedModuleList满足((pModuleCurrent->SizeOfImage == 0x00000000) && (pModuleCurrent->FullDllName.Length == 0))而在WindowXP SP2PsLoadedModuleList满足(pModuleCurrent->FullDllName.Buffer == NULL)。

  转载请注明出处!

32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 989
遍历成功拿到了线程回调对象。
nt!MiInitializeLoadedModuleList分析和全局变量nt!PsLoadedModuleList初始化和LoaderBlock->LoadOrderListHead的关系非常重要
最新发布
linux-0.11调试教程
12-26 455
nt!MiInitializeLoadedModuleList分析和全局变量nt!PsLoadedModuleList初始化和LoaderBlock->LoadOrderListHead的关系非常重要
利用PsLoadModuleList 杖举驱动模块
weixin_30439031的博客
12-27 560
PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。 这个双向链表的结构如下: kd> dt _LIST_ENTRY nt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY      //指向后一个链表 +0x0...
总结一下得到内模块地址方法
weixin_34055910的博客
08-27 937
网上说的比较常见的4种方法:1、通过DriverEntry传入的DriverObject参数的DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基址和大小2、ZwQuerySystemInformation大法3、搜索内存4、利用KPCR结构存在的问题:1、第1种方法和第4种方法得到的结果比ZwQuerySy...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2775
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
获取驱动加载的r3地址
09-28
” 这里描述的是在用户(R3)获取kernel32.dll基地址方法,但用户的问题是关于获取驱动加载的R3地址。 在Windows中,驱动程序(Driver)通常运行在内(R0),而用户(R3)程序运行在用户。用户可能混淆...
windows下使用C++获取驱动基地址ACE-BOOT.sys 0xFFFFF80693C70000这种地址
08-26
考虑到用户没有明确说明,但问题中提到了驱动(ACE-BOOT.sys),并且要求获取其基地址,这通常是在内下完成的任务。但是,用户也可能是在用户下通过某种方式获取(例如,通过读取内信息或调用系统函数)。 ...
wdm给出驱动程序路径名次怎么获取驱动对象
11-26
// 获取PsLoadedModuleList地址 // 注意:在Windows XP及以后,我们可以使用内导出变量,但不同版本获取方式可能不同 // 这里使用MmGetSystemRoutineAddress来获取PsLoadedModuleList地址 // 但实际上,...
Windows 驱动线程获取模块
06-12
获取 Windows 驱动程序中的模块可以使用 PsLoadedModuleList 来实现。PsLoadedModuleList 是一个指向系统中所有已加载模块的链表头的指针,可以通过遍历该链表来获取每个模块的基址、大小、文件名等信息。以下是获取...
遍历内驱动模块
HXC_HUANG的博客
03-05 5786
PsLoadedModuleListWindows加载的所有内模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
检测断开PsLoadedModuleList链的驱动
zacklin的专栏
05-18 2494
有空我还会写关于ssdt检测和修复的部分,我们可以把下面的例子在ssdt检测部分中加入,以解决一些rootkit隐藏了驱动,不能被成功枚举出来的问题PDIRECTORY_BASIC_INFORMATION     pDriverBuffer = NULL; pDriverBuffer = (PDIRECTORY_BASIC_INFORMATION)m_cSysInfo.QueryDirector
(转载)获取Windows 系统的内变量
Kendiv's Box
11-12 1989
获取Windows 系统的内变量转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)获取Windows 系统的内变量作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]com        tombkeeper[0x40]xfocus[0x
ZwQuerySystemInformation枚举模块问题分析
sunjiaoya的博客
09-30 1065
ZwQuerySystemInformation通过调用号0xb可以获取到内层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 3765
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存,不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于页面映射的虚拟内存机制: 在硬件上:由CPU芯片内
驱动程序完整性校验的原理分析
lixiangminghate的专栏
08-31 5417
转自:小刀志      在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后,驱动中调用的一些系统回调函数(如 ObRegisterCallbacks,可用来监控系统中对进线程句柄的操作,如打开进程、复制线程句柄等)等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查,检测未通过则会返
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 1586
_LDR_DATA_TABLE_ENTRY结构体
利用 PEB_LDR_DATA 结构枚举进程模块信息
溡漪幽博客
12-29 2954
我们常常通过很多方法获取进程的模块信息,例如EnumProcessModules 函数、CreateToolhelp32Snapshot 函数、WTSEnumerateProcesses 函数、ZwQuerySystemInformation 函数等。但是调用这些接口进行模块枚举的原理是什么我们并不知道。通过学习 PEB 中 PEB_LDR_DATA 结构的知识,我们可以对进程模块信息的查询以及相关存储数据结构有进一步的了解。
_LDR_DATA_TABLE_ENTRY
qq726232111的博客
12-09 1243
0: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY +0x010 InMemoryOrderLinks : _LIST_ENTRY +0x020 InInitializationOrderLinks : _LIST_ENTRY +0x030 DllBase : Ptr64 Void +0x038 EntryPoint ...
window 隐藏驱动 或者无痕驱动 或者无痕加载驱动
07-17
隐藏驱动程序或以无痕模式加载驱动程序是Windows开发和安全研究中的一个高级主题,通常涉及对操作系统底层机制的深入理解。以下是一些常见的技术手段,但需要注意的是,这些方法可能违反操作系统使用协议或被安全软件视为恶意行为,因此仅限于合法授权的研究或测试环境中使用。 ### 3. 驱动隐藏与无痕加载的心技术 #### 从PsLoadedModuleList中移除驱动 Windows系统维护了一个名为`PsLoadedModuleList`的双向链表,用于记录所有已加载的驱动模块。通过修改该链表结构,可以将特定驱动从列表中摘除,从而在一些依赖此链表获取驱动信息的工具中“消失”。 - 每个驱动对象的`DriverSection`字段指向一个`_LDR_DATA_TABLE_ENTRY`结构。 - 该结构中包含多个链表指针(如`InLoadOrderLinks`、`InMemoryOrderLinks`等),其中`InLoadOrderLinks`决定了驱动在`PsLoadedModuleList`中的位置。 - 修改此链表指针使其前向与后向节点相互连接,即可将当前驱动节点从链表中移除[^1]。 ```c // 示例伪代码:从 PsLoadedModuleList 中移除驱动 PLIST_ENTRY pListEntry = (PLIST_ENTRY)pLdrDataTableEntry->InLoadOrderLinks.Flink; pListEntry->Blink->Flink = pListEntry->Flink; pListEntry->Flink->Blink = pListEntry->Blink; ``` #### 不注册DriverObject 标准驱动程序加载时会调用`DriverEntry`函数,并通过`ZwSetSystemInformation`或其他方式注册自身。如果希望实现“无痕”加载,则可以在驱动入口点直接跳过注册过程,甚至不创建完整的`DRIVER_OBJECT`结构。 - 可通过自定义加载器将驱动映像直接映射到内空间。 - 手动解析PE结构并完成重定位、导入表修复等工作。 - 调用驱动入口点时传递伪造的`PDRIVER_OBJECT`参数,或者根本不调用`DriverEntry`。 #### 使用内级Hook技术 另一种实现无痕加载的方式是利用内级别的钩子(Hook)技术,拦截系统调用或中断处理流程,从而在不注册驱动的情况下执行任意代码。 - Hook `KiSystemServiceTable` 中的服务例程,例如替换`NtLoadDriver`。 - 利用IRP(I/O Request Packet)机制劫持其他驱动的请求流。 - 使用Inline Hook或SSDT Hook等技术改变执行路径。 #### 内存映像直接注入 类似于用户的DLL注入,内也可以将驱动代码直接注入到另一个合法驱动的内存空间中执行。 - 查找目标驱动的内存映像基址。 - 分配非分页池内存并将驱动代码复制进去。 - 修改目标驱动的某些回调函数指针(如IRP MajorFunction)指向注入代码。 --- ### 注意事项 - 上述方法均属于高级内编程范畴,需具备扎实的Windows驱动开发知识。 - 实施过程中可能导致系统不稳定、蓝屏甚至无法启动。 - 现代Windows版本(如Win10/Win11)引入了签名验证、PatchGuard等保护机制,增加了隐藏驱动的难度。 - 合法用途应严格限定于安全研究、逆向工程教学等场景。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值