利用PsLoadModuleList 杖举驱动模块

最新推荐文章于 2024-09-30 13:31:42 发布
转载 最新推荐文章于 2024-09-30 13:31:42 发布 · 526 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ktr39/p/3494875.html
文章标签:

#数据结构与算法 #大数据

本文详细解析了PsLoadedModuleList作为系统全局变量的功能及其与驱动加载过程的关系,深入探讨了DRIVER_OBJECT、LDR_DATA_TABLE_ENTRY等关键结构的作用,并提供了代码示例来演示如何遍历所有已加载驱动模块。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。

这个双向链表的结构如下:

kd> dt _LIST_ENTRY
nt!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY      //指向后一个链表
   +0x004 Blink            : Ptr32 _LIST_ENTRY      //指向前一个链表

每一个驱动对象都存在这样一个结构.我们先看_DRIVER_OBJECT的结构

kd> dt _DRIVER_OBJECT
nt!_DRIVER_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Int2B
   +0x004 DeviceObject     : Ptr32 _DEVICE_OBJECT            //设备对象
   +0x008 Flags            : Uint4B
   +0x00c DriverStart      : Ptr32 Void                        //驱动对象起始地址
   +0x010 DriverSize       : Uint4B                            //驱动对象的大小
   +0x014 DriverSection    : Ptr32 Void                        //**这个实际上是一个LDR_DATA_TABLE_ENTRY 指针
   +0x018 DriverExtension  : Ptr32 _DRIVER_EXTENSION
   +0x01c DriverName       : _UNICODE_STRING                //驱动对象的名字
   +0x024 HardwareDatabase : Ptr32 _UNICODE_STRING
   +0x028 FastIoDispatch   : Ptr32 _FAST_IO_DISPATCH
   +0x02c DriverInit       : Ptr32     long 
   +0x030 DriverStartIo    : Ptr32     void 
   +0x034 DriverUnload     : Ptr32     void 
   +0x038 MajorFunction    : [28] Ptr32     long

LDT_DATA_TABLE_ENTRY结构中的第一项就是LIST_ENTRY结构.这个LIST_ENTRY结构就是加载的驱动模块的链表

kd> dt _LDR_DATA_TABLE_ENTRY
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY                //驱动加载链表
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
   +0x02c BaseDllName      : _UNICODE_STRING
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 Void
   +0x04c PatchInformation : Ptr32 Void

 

通过这三个结构的分析,我们就弄清楚了.

DRIVER_OBJECT +0x14  就得到了LIST_ENTRY 链表,通过对这个链表的遍历就能得到所有的驱动模块

 

//头文件
typedef struct
{
    LIST_ENTRY InLoadOrderLink;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;
    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;
    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;
    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    LIST_ENTRY HashLinks;
    PVOID SectionPointer;
    ULONG CheckSum;
    ULONG TimeDateStamp;
    PVOID LoadedImports;
    PVOID EntryPointActivationContext;
    PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;

代码:

#include "ntddk.h"
#include "rootkit.h"

void OnUnload(PDRIVER_OBJECT pDriverObj)
{
    DbgPrint("Driver is Unload!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pRootkitObj,PUNICODE_STRING pRegistPath)
{
    
    PLDR_DATA_TABLE_ENTRY pDriverList;
    PLIST_ENTRY pCurrentList;


    pRootkitObj->DriverUnload=OnUnload;
    
    pDriverList=(PLDR_DATA_TABLE_ENTRY) (pRootkitObj->DriverSection);
    pCurrentList=(PLIST_ENTRY) pDriverList;

    while (((PLIST_ENTRY)pDriverList)->Blink!=pCurrentList)
    {

        DbgPrint("DriverBase=0x%08X        \tDriverSize 0x%08X      \tDriverName=%ws\n",
            pDriverList->DllBase,
            pDriverList->SizeOfImage,
            (pDriverList->BaseDllName).Buffer);
            

        pDriverList=((PLIST_ENTRY)pDriverList)->Blink;
    }
    return STATUS_SUCCESS;
}

 

转载于:https://www.cnblogs.com/ktr39/p/3494875.html

遍历内核驱动模块
HXC_HUANG的博客
03-05 5676
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构
32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 873
遍历成功拿到了线程回调对象。
R3暴力枚驱动
03-31
易语言ring3下暴力枚驱动的例子。任何驱动都可枚出来。
在ring3下列系统中已加载的驱动模块的信息
Y___Y的专栏
07-02 1297
#include #include #include #include #pragma comment( linker, "/subsystem:console" )typedef LONG NTSTATUS;#define NT_SUCCESS(status)      ((NTSTATUS)(status)>=0)/***************************************
另一种R3下枚进程进程内部模块的方法
輚至消亡
07-13 195
该方法是我逆向某个恶意软件时。从它那里学习到的方法。其利用Psapi.dll内的系统功能函数 #include <Psapi.h> #include <windows.h> #include <cstdio> #pragma comment(lib, "psapi.lib") // 枚进程PID BOOL ToEnumProcesses() { // 官方文档建议使用大数组 DWORD dwPIDArr[1024] = { 0 }; DWORD dwNee
核态获取PsLoadedModuleList地址的稳定方法
09-10 133
转载:https://blog.youkuaiyun.com/celestialwy/article/details/1261407 PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚所有这些模块的信息,这些信息可用在AntiRootkit等方面。 由于Windows 2003 Server SP1开始不再支持用户态访问P...
检测断开PsLoadedModuleList链的驱动
zacklin的专栏
05-18 2462
有空我还会写关于ssdt检测和修复的部分,我们可以把下面的例子在ssdt检测部分中加入,以解决一些rootkit隐藏了驱动,不能被成功枚出来的问题PDIRECTORY_BASIC_INFORMATION     pDriverBuffer = NULL; pDriverBuffer = (PDIRECTORY_BASIC_INFORMATION)m_cSysInfo.QueryDirector
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2685
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
ZwQuerySystemInformation枚模块问题分析
最新发布
sunjiaoya的博客
09-30 950
ZwQuerySystemInformation通过调用号0xb可以获取到内核层模块的信息,通过windbg和IDA追踪ZwQuerySystemInformation的函数调用链,发现在内核模块里调用 ZwQuerySystemInformation() 函数,将通过系统调用转而调用 NtQuerySystemInformation() 函数。NtQuerySystemInformation() 调用内部的 ExpQueryModuleInformation() 函数来完成相应功能。
内核驱动程序完整性校验的原理分析
lixiangminghate的专栏
08-31 5293
转自:小刀志      在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后,驱动中调用的一些系统回调函数(如 ObRegisterCallbacks,可用来监控系统中对进线程句柄的操作,如打开进程、复制线程句柄等)等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查,检测未通过则会返
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
KPCR
stonesharp的专栏
11-08 4088
由于Windows需要支持多个CPU, 因此Windows内核中为此定义了一套以处理器控制区(Processor Control Region)即KPCR为枢纽的数据结构, 使每个CPU都有个KPCR. 其中KPCR这个结构中有一个域KPRCB(Kernel Processor Control Block)结构, 这个结构扩展了KPCR. 这两个结构用来保存线程切换相关的全局信息.  通常fs
隐藏内核模块
weixin_33744854的博客
06-12 581
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1结果2进行比较,这样就会发现被隐藏的模块。但事实证明我想的太复杂...
遍历windows驱动遍历对象目录的对象
03-05 2171
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
函数ZwQuerySystemInformation小结
weixin_33906657的博客
08-07 370
函数存在于NTDLL.DLL动态链接库中。NTDLL.DLL负责ring3ring0之间的通信。当使用子系统方式进行系统调用的时候,ntdll.dll和SSDT会配合使用。 关于ZwQuerySystemInformation这个函数可以用来查询进程信息、内核信息、硬件信息(例如CPU数目)、句柄信息、时间信息等54个系统信息。 该函数的原型是 NTSTATUS WI...
总结一下得到内核模块地址的方法
weixin_34055910的博客
08-27 874
网上说的比较常见的4种方法:1、通过DriverEntry传入的DriverObject参数的DriverSection成员指向LDR_DATA_TABLE_ENTRY结构,通过遍历这张表得到ntoskrnl的基址和大小2、ZwQuerySystemInformation大法3、搜索内存4、利用KPCR结构存在的问题:1、第1种方法和第4种方法得到的结果比ZwQuerySy...
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5760
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
热门推荐
whatday的专栏
10-31 1万+
我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题: (1)怎么样在64位的Windows7操作系统下实现进程保护?  (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊! (3)公司的项目很急,领导让我实现64位系统下的进程保护,这要怎么做啊? (4)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值