nt!MiInitializeLoadedModuleList分析和全局变量nt!PsLoadedModuleList初始化和LoaderBlock->LoadOrderListHead的关系非常重要

原创 于 2025-12-26 20:38:27 发布 · 452 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PsLoadedModule #LoadedModuleLis #MiInitializeLoa #LoadOrderListHe

nt!MiInitializeLoadedModuleList分析和全局变量nt!PsLoadedModuleList初始化和LoaderBlock->LoadOrderListHead的关系非常重要

kd> t
Breakpoint 6 hit
eax=00000001 ebx=00000000 ecx=00000000 edx=00000004 esi=00000001 edi=c0603840
eip=80ec6342 esp=80b1e43c ebp=80b1e4b4 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000202
nt!MiInitializeLoadedModuleList:
80ec6342 55              push    ebp
kd> kc
 # 
00 nt!MiInitializeLoadedModuleList
01 nt!MmInitSystem
02 nt!ExpInitializeExecutive
03 nt!KiInitializeKernel
04 nt!KiSystemStartup
kd> kv
 # ChildEBP RetAddr  Args to Child              
00 80b1e438 80ecda7b 80076000 00000000 800798e8 nt!MiInitializeLoadedModuleList (FPO: [Non-Fpo]) (CONV: stdcall) [d:\srv03rtm\base\ntos\mm\sysload.c @ 7852] 
01 80b1e4b4 80eb1e55 01000001 80076000 80b2a460 nt!MmInitSystem+0x15fd (FPO: [Non-Fpo]) (CONV: stdcall) [d:\srv03rtm\base\ntos\mm\mminit.c @ 2181] 
02 80b1e638 80ec26cf 00000000 00000002 8003fc00 nt!ExpInitializeExecutive+0x2c7 (FPO: [Non-Fpo]) (CONV: stdcall) [d:\srv03rtm\base\ntos\init\init.c @ 1031] 
03 80b1e68c 80ec0696 80b2a6c0 80b2a460 80b1e950 nt!KiInitializeKernel+0x409 (FPO: [Non-Fpo]) (CONV: stdcall) [d:\srv03rtm\base\ntos\ke\i386\kernlini.c @ 785] 
04 00000000 00000000 00000000 00000000 00000000 nt!KiSystemStartup+0x2d6 [d:\srv03rtm\base\ntos\ke\i386\newsysbg.asm @ 573] 
kd> dv
    LoaderBlock = 0x80076000
 CommittedPages = 0x80ec6342
      NextEntry = 0x00000008


kd> x nt!PsLoadedModuleList
80c2dd70          nt!PsLoadedModuleList = struct _LIST_ENTRY [ 0x0 - 0x0 ]
kd> dx -r1 (*((ntkrpamp!_LIST_ENTRY *)0x80c2dd70))
(*((ntkrpamp!_LIST_ENTRY *)0x80c2dd70))                 [Type: _LIST_ENTRY]
    [+0x000] Flink            : 0x0 [Type: _LIST_ENTRY *]
    [+0x004] Blink            : 0x0 [Type: _LIST_ENTRY *]


kd> dv
    LoaderBlock = 0x80076000
 CommittedPages = 0x80ec6342
      NextEntry = 0x00000008

kd> dx -r1 ((ntkrpamp!_LOADER_PARAMETER_BLOCK *)0x80076000)
((ntkrpamp!_LOADER_PARAMETER_BLOCK *)0x80076000)                 : 0x80076000 [Type: _LOADER_PARAMETER_BLOCK *]
    [+0x000] LoadOrderListHead [Type: _LIST_ENTRY]
    [+0x008] MemoryDescriptorListHead [Type: _LIST_ENTRY]
    [+0x010] BootDriverListHead [Type: _LIST_ENTRY]
    [+0x018] KernelStack      : 0x80b1e950 [Type: unsigned long]
    [+0x01c] Prcb             : 0x0 [Type: unsigned long]
    [+0x020] Process          : 0x0 [Type: unsigned long]
    [+0x024] Thread           : 0x80b2a460 [Type: unsigned long]
    [+0x028] RegistryLength   : 0x240000 [Type: unsigned long]
    [+0x02c] RegistryBase     : 0x80100000 [Type: void *]
    [+0x030] ConfigurationRoot : 0x800777a8 [Type: _CONFIGURATION_COMPONENT_DATA *]
    [+0x034] ArcBootDeviceName : 0x80088398 : "multi(0)disk(0)rdisk(0)partition(1)" [Type: char *]
    [+0x038] ArcHalDeviceName : 0x800883d0 : "multi(0)disk(0)rdisk(0)partition(1)" [Type: char *]
    [+0x03c] NtBootPathName   : 0x800883c0 : "\WINDOWS\" [Type: char *]
    [+0x040] NtHalPathName    : 0x800883f8 : "\" [Type: char *]
    [+0x044] LoadOptions      : 0x80078168 : "FASTDETECT  BREAK  3G  PAE  DEBUG  DEBUGPORT=COM1:  BAUDRATE=115200  LASTBOOTSTATUS=2" [Type: char *]
    [+0x048] NlsData          : 0x8007cab0 [Type: _NLS_DATA_BLOCK *]
    [+0x04c] ArcDiskInformation : 0x80078208 [Type: _ARC_DISK_INFORMATION *]
    [+0x050] OemFontFile      : 0x80083090 [Type: void *]
    [+0x054] SetupLoaderBlock : 0x0 [Type: _SETUP_LOADER_BLOCK *]
    [+0x058] Extension        : 0x80076068 [Type: _LOADER_PARAMETER_EXTENSION *]
    [+0x05c] u                [Type: __unnamed]
kd> dx -r1 (*((ntkrpamp!_LIST_ENTRY *)0x80076000))
(*((ntkrpamp!_LIST_ENTRY *)0x80076000))                 [Type: _LIST_ENTRY]
    [+0x000] Flink            : 0x800797a8 [Type: _LIST_ENTRY *]
    [+0x004] Blink            : 0x80088300 [Type: _LIST_ENTRY *]

    NextEntry = LoaderBlock->LoadOrderListHead.Flink;
    NextEntryEnd = &LoaderBlock->LoadOrderListHead;

    DataTableEntry2 = CONTAINING_RECORD (NextEntry,
          &nb

最低0.47元/天 解锁文章
nt!IopInitializeBuiltinDriver函数分析之driverObject->DriverSection对应的结构类型为KLDR_DATA_TABLE_ENTRY--重要
linux-0.11调试教程
12-25 444
nt!IopInitializeBootDrivers函数分析nt!IopInitializeBuiltinDriver函数分析之driverObject->DriverSection对应的结构类型为KLDR_DATA_TABLE_ENTRY--重要
nt!IoInitSystem函数之前的nt!PsLoadedModuleList
linux-0.11调试教程
12-25 378
nt!IoInitSystem函数之前的nt!PsLoadedModuleList
osloader!BlLoadImage32Exosloader!BlLoadBootDrivers调试记录--非常重要
linux-0.11调试教程
12-25 488
osloader!BlLoadImage32Exosloader!BlLoadBootDrivers调试记录--非常重要
Windows NT引导过程源代码分析(二)
hnzwx888的专栏
06-20 1462
转载自:https://blog.youkuaiyun.com/cosmoslife/article/details/7855425 1.2内核初始化 内核的初始化主要是内核各个组件的初始化,但由于这些内核组件之间有紧密的耦合关系,所以它们的初始化并不是简单地顺序执行初始化。为了解决在初始化过程中的相互依赖性问题,内核的初始化分两个阶段进行,称为阶段0阶段1。大多数内核组件的初始化函数相应地带有...
《Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 935
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
计算机蓝屏分析报告,Win7 又蓝屏了 附上分析报告,高手帮我看看!
weixin_29198045的博客
07-23 1329
Win7 又蓝屏了 附上分析报告,高手帮我看看!Microsoft (R) Windows Debugger Version 6.11.0001.404 AMD64Copyright (c) Microsoft Corporation. All rights reserved.Loading Dump File [C:\Users\无心圆\Desktop\090910-34039-01.dmp]M...
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 1288
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
服务器无限蓝屏,服务器频繁蓝屏,帮忙分析一下minidump,急求帮助!
weixin_42514222的博客
08-09 1296
ymbol search path is: srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbolsExecutable search path is:Windows 7 Kernel Version 7600 MP (16 procs) Free x64Product: Server, suite...
性能服务器蓝屏,服务器频繁蓝屏,帮忙分析一下minidump,急求帮助!
weixin_32100383的博客
08-05 1296
ymbol search path is: srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbolsExecutable search path is:Windows 7 Kernel Version 7600 MP (16 procs) Free x64Product: Server, suite...
void qdyinc(PDRIVER_OBJECT pdriver)//Flink 指向下一个驱动对象的 Blink指向上一个驱动对象的 断连了直接卸载驱动会蓝屏 { PLDR_DATA_TABLE_ENTRY me = (PLDR_DATA_TABLE_ENTRY)pdriver->DriverSection; hfme = me; PLDR_DATA_TABLE_ENTRY shdow = me; me = me->InLoadOrderLinks.Flink; (shdow->InLoadOrderLinks.Blink)->Flink = me; me->InLoadOrderLinks.Blink = shdow->InLoadOrderLinks.Blink; }断链驱动后怎么安全恢复
11-18
你提到的代码是 Windows 内核驱动开发中常见的“驱动隐藏”或“驱动断链”技术,目的是将当前驱动从内核的 `PsLoadedModuleList`(即 `InLoadOrderLinks` 链表)中移除,从而在诸如 `!drvobj`、`driverquery` 等工具...
void qdyinc(PDRIVER_OBJECT pdriver)//Flink 指向下一个驱动对象的 Blink指向上一个驱动对象的 断连了直接卸载驱动会蓝屏 { PLDR_DATA_TABLE_ENTRY me = (PLDR_DATA_TABLE_ENTRY)pdriver->DriverSection; hfme = me; PLDR_DATA_TABLE_ENTRY shdow = me; me = me->InLoadOrderLinks.Flink; (shdow->InLoadOrderLinks.Blink)->Flink = me; me->InLoadOrderLinks.Blink = shdow->InLoadOrderLinks.Blink; }断链驱动后怎么安全恢复
11-18
pLdrEntry->InLoadOrderLinks.Flink->Blink = &pLdrEntry->InLoadOrderLinks; pLdrEntry->InLoadOrderLinks.Blink->Flink = &pLdrEntry->InLoadOrderLinks; // 3. 释放资源锁 ExReleaseResourceLite(&...
PLDR_DATA_TABLE_ENTRY hfme = NULL; void qdyinc(PDRIVER_OBJECT pdriver)//Flink 指向下一个驱动对象的 Blink指向上一个驱动对象的 断连了直接卸载驱动会蓝屏 { PLDR_DATA_TABLE_ENTRY me = (PLDR_DATA_TABLE_ENTRY)pdriver->DriverSection; hfme = me; PLDR_DATA_TABLE_ENTRY shdow = me; me = me->InLoadOrderLinks.Flink; (shdow->InLoadOrderLinks.Blink)->Flink = me; me->InLoadOrderLinks.Blink = shdow->InLoadOrderLinks.Blink; }这样断链后怎么恢复
11-18
这些链表用于维护驱动在内存中的加载顺序、内存顺序初始化顺序。断链通常是指修改其中一个或多个链表的指针,使得驱动从链表中移除,从而隐藏驱动。 用户代码中修改的是InLoadOrderLinks的FlinkBlink指针,将...
BOOLEAN SupportSEH(PDRIVER_OBJECT DriverObject) { PDRIVER_OBJECT Object = NULL;; PLDR_DATA_TABLE_ENTRY LdrEntry = NULL; GetDriverObjectByName(&Object, L"\\Driver\\tdx"); if (Object == NULL) { return FALSE; } // 将获取到的驱动对象节点赋值给自身LDR LdrEntry = (PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection; LdrEntry->DllBase = Object->DriverStart; ObDereferenceObject(Object); return TRUE; } VOID InitInLoadOrderLinks(PLDR_DATA_TABLE_ENTRY LdrEntry) { InitializeListHead(&LdrEntry->InLoadOrderLinks); InitializeListHead(&LdrEntry->InMemoryOrderLinks); } VOID Reinitialize(PDRIVER_OBJECT DriverObject) { MiProcessLoaderEntry m_MiProcessLoaderEntry = NULL; ULONG* p = NULL; MiUnloadSystemImageAddress = GetMiUnloadSystemImageAddress(); m_MiProcessLoaderEntry = GetMiProcessLoaderEntry(MiUnloadSystemImageAddress); if (m_MiProcessLoaderEntry == NULL) { return; } SupportSEH(DriverObject); m_MiProcessLoaderEntry(DriverObject->DriverSection, 0); InitInLoadOrderLinks((PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection); } NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING path)//pdr驱动对象 { Reinitialize(pdriver); 调用完这个断链 怎么恢复驱动链表
11-18
Reinitialize函数调用了SupportSEH初始化链表的函数,可能是在加载驱动时修改了某些链表结构。 用户的问题是调用Reinitialize后如何恢复驱动链表。根据代码,SupportSEH中修改了DriverObject->DriverSection的...
Nodejs后端服务构建与数据库缓存集成实践项目_通过Nodejs环境搭建实现MySQL数据库连接与Redis缓存机制整合的完整示例_旨在为开发者提供一个清晰易懂的教程式代码库.zip
01-08
Nodejs后端服务构建与数据库缓存集成实践项目_通过Nodejs环境搭建实现MySQL数据库连接与Redis缓存机制整合的完整示例_旨在为开发者提供一个清晰易懂的教程式代码库.zip
关闭126邮箱163邮箱的网易广告
01-08
代码转载自:https://pan.quark.cn/s/149513ca1c18 此实例主要用于教学目的供参考,其中包含了SetTimer()函数的运用,FindWindow()函数的调用,GetWindowThreadProcessId()函数的执行,OpenProcess()函数的应用以及TerminateProcess()函数的简单操作
基于ILP的最优PMU放置优化研究(Matlab代码实现)
01-08
基于ILP的最优PMU放置优化研究(Matlab代码实现)内容概要:本文围绕基于整数线性规划(ILP)的最优PMU(相量测量单元)放置优化展开研究,重点考虑楼宇空间布局对电力系统可观测性的影响,旨在通过数学优化方法实现PMU的最小化配置,以降低成本并保证系统完全可观测。文中提供了完整的Matlab代码实现方案,涵盖模型构建、约束条件设定及求解过程,并结合实际电力系统节点案例进行仿真验证,具有较强的工程应用价值。此外,文档还附带多个相关科研方向的技术资源与代码示例,涉及智能优化算法、机器学习、路径规划、信号处理等领域,形成一套综合性科研辅助资料。; 适合人群:具备电力系统基础知识Matlab编程能力的研究生、科研人员及从事电力自动化、智能电网相关工作的工程技术人员。; 使用场景及目标:①用于电力系统状态估计中的PMU最优布点研究;②支撑智能电网可观测性分析与传感器配置优化;③作为学术论文复现、课程项目开发或科研课题的技术参考;④拓展应用于其他优化问题的建模与求解实践。; 阅读建议:建议读者结合文中提供的Matlab代码与网盘资源,逐步运行并调试程序,深入理解ILP建模思路与约束设计逻辑,同时可借鉴其他案例提升综合仿真能力。
【二阶锥规划】考虑气电联合需求响应的气电综合能源配网系统协调优化运行【IEEE33节点】(Matlab代码实现)
01-08
【二阶锥规划】考虑气电联合需求响应的气电综合能源配网系统协调优化运行【IEEE33节点】(Matlab代码实现)内容概要:本文介绍了基于二阶锥规划的气电综合能源配网系统协调优化运行方法,重点研究了在IEEE33节点系统中考虑气电联合需求响应的优化模型。通过Matlab代码实现,构建了电能与天然气系统协同运行的数学模型,利用二阶锥松弛技术将非凸非线性问题转化为可高效求解的凸优化问题,实现了对能源供应、负荷需求及网络约束的综合协调优化。该方法能够有效提升综合能源系统的运行效率与经济性,并增强对可再生能源的消纳能力。; 适合人群:具备电力系统、能源系统或优化建模基础知识的研究生、科研人员及从事综合能源系统研究的工程技术人员。; 使用场景及目标:①用于学习复现气电联合系统优化调
基于DeepseekAI智能辅助的C编程学习全流程记录与实战项目演练仓库_包含C基础语法面向对象编程标准模板库STL现代C特性C11141720数.zip
01-08
基于DeepseekAI智能辅助的C编程学习全流程记录与实战项目演练仓库_包含C基础语法面向对象编程标准模板库STL现代C特性C11141720数.zip
基于3D视觉的移动机器人导航与控制.zip
最新发布
01-08
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业毕业设计。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值