本文介绍了三种在内核模式下获取ntoskrnl.exe基地址的方法:1) 利用ZwQuerySystemInformation检索加载模块;2) 通过DriverObject的DriverSection遍历LDR_DATA_TABLE_ENTRY结构;3) 通过驱动DriverEntry的返回地址搜索。并提供了一个使用MmIsAddressValid的示例代码。
作 者: combojiang
如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。
同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:
1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块。例子如:http://bbs.pediy.com/showthread.php?t=58199
在开头部分就是利用ZwQuerySystemInformation 来检所ntoskrnl.exe模块的内存加载位置。
2。通过驱动DriverEntry函数的第一个参数,即DriverObject。在DriverObject结构体中有一项
DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基址和大小。例子如:
最低0.47元/天 解锁文章
扫一扫
06-17
04-28
1419
1419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
