2. 程式人生 > 實用技巧 >遍歷程序模組 獲取程序DLL 基地址

遍歷程序模組 獲取程序DLL 基地址

阿新 發佈:2020-08-15 
#include"標頭.h"
#define  POINTER ULONG
#define PEB_OFFSET_IN_EPROCESS   0x3f8
#define LDR_OFFSET_IN_PEB  0x18
#define InLoadOrderModuleList_OFFSET 0x010
typedef struct _LDR_DATA_TABLE_ENTRY
{
    LIST_ENTRY64    InLoadOrderLinks;
    LIST_ENTRY64    InMemoryOrderLinks;
    LIST_ENTRY64    InInitializationOrderLinks;
    PVOID            DllBase;
    PVOID            EntryPoint;
    ULONG            SizeOfImage;
    UNICODE_STRING    FullDllName;
    UNICODE_STRING     BaseDllName;
    ULONG            Flags;
    USHORT            LoadCount;
    USHORT            TlsIndex;
    PVOID            SectionPointer;
    ULONG            CheckSum;
    PVOID            LoadedImports;
    PVOID            EntryPointActivationContext;
    PVOID            PatchInformation;
    LIST_ENTRY64    ForwarderLinks;
    LIST_ENTRY64    ServiceTagLinks;
    LIST_ENTRY64    StaticLinks;
    PVOID            ContextInformation;
    ULONG64            OriginalBase;
    LARGE_INTEGER    LoadTime;
} LDR_DATA_TABLE_ENTRY, 
 
* PLDR_DATA_TABLE_ENTRY;



VOID DriverUnload(PDRIVER_OBJECT pDriverObject) {
    DbgPrint("已解除安裝!\n");
}

typedef struct _KAPC_STATE_t
{
    LIST_ENTRY ApcListHead[2];
    PKPROCESS Process;
    UCHAR KernelApcInProgress;
    UCHAR KernelApcPending;
    UCHAR UserApcPending;
} KAPC_STATE_t, * PKAPC_STATE_t;

PEPROCESS LookupProcess(HANDLE hPid)
{
    PEPROCESS eproc 
 
= NULL;
    if (NT_SUCCESS(PsLookupProcessByProcessId(hPid, &eproc)))
    {
        return eproc;
    }
    return NULL;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath) {

    DbgPrint("啟動!\n");
    pDriverObject->DriverUnload = DriverUnload;
    KAPC_STATE_t  ks;
    UNICODE_STRING UnicodeString2;
    RtlInitUnicodeString(
 
&UnicodeString2, L"ntdll.dll");
    PEPROCESS    Eprocess = LookupProcess((HANDLE)3212);
    if (Eprocess == NULL)
    {
        DbgPrint("Eprocess 獲取失敗");
        return STATUS_SUCCESS;
    }
    __try {
        ULONG64  peb = *(PULONG64)((ULONG64)Eprocess + PEB_OFFSET_IN_EPROCESS);
       KeStackAttachProcess(Eprocess, &ks);
       ULONG64 idr  = *(PULONG64)(peb + LDR_OFFSET_IN_PEB);
      PLIST_ENTRY  pListHead = (idr + InLoadOrderModuleList_OFFSET);
      PLIST_ENTRY pMod = pListHead->Flink;   //下一個連結串列
     while (pMod!=pListHead)
     {


         PCUNICODE_STRING name = &(((PLDR_DATA_TABLE_ENTRY)pMod)->BaseDllName);

         if (RtlEqualUnicodeString(name, &UnicodeString2, TRUE))
         {
             DbgPrint("name = %wZ\n  Base= %p", name, (PVOID)(((PLDR_DATA_TABLE_ENTRY)pMod)->DllBase));


         }

      pMod = pMod->Flink;
     }

    }
    __except(EXCEPTION_EXECUTE_HANDLER){

        DbgPrint("EXCEPTION_EXECUTE_HANDLER is occure...\n");

    }

    KeUnstackDetachProcess(&ks);


    return STATUS_SUCCESS;
}

相關推薦

程序模組 獲取程序DLL 地址

#include\"標頭.h\" #definePOINTER ULONG #define PEB_OFFSET_IN_EPROCESS0x3f8 #define LDR_OFFSET_IN_PEB0x18

Python程序,多程序獲取程序id,給子程序傳遞引數操作示例

本文例項講述了Python程序,多程序獲取程序id,給子程序傳遞引數操作。分享給大家供大家參考,具體如下:

python讀取excel進行/xlrd模組操作

我就廢話不多說了,大家還是直接看程式碼吧~ #!/usr/bin/env python # -*- coding: utf-8 -*-

遞迴資料夾獲取所有檔案的絕對路徑

import java.io.File; import java.util.HashSet; import java.util.Set; /** * 遞迴獲取所有檔案並列印以\".txt\"格式結尾的檔案絕對路徑

python目錄,獲取指定檔案

技術標籤:python目錄 1 需求 指定資料夾下的wav檔案,取出後做其他處理

freemaker 後臺Map獲取key value鍵值對,key為int型別

技術標籤:前端freemarker前端 freemaker 後臺Map獲取key value鍵值對,key為int型別

根據程序獲取程序pid

摘自:https://blog.csdn.net/shanguangy111/article/details/77136187 原理:linux作業系統中有一個名為/proc的虛擬檔案系統,其中記錄著程序和使用者的相關資訊,其中/proc/N (注:N表示數字)目錄表示程序ip號為N的

C/C++ 程序記憶體塊

期待的效果就像 PCHuntor 裡的那樣,如下: 上程式碼 #include \"stdafx.h\" #include <Windows.h>

c++ win32 程序列表

使用 CreateToolhelp32Snapshot #include <iostream> #include <Windows.h> #include <TlHelp32.h>

轉載-VC程序

程序需要幾個API,和一個結構體   1.建立程序快照   2.首次程序   3.繼續下次

Python使用psutil獲取程序資訊的例子

psutil是什麼 psutil是一個能夠獲取系統資訊(包括程序、CPU、記憶體、磁碟、網路等)的Python模組。主要用來做系統監控,效能分析,程序管理,像glances也是基於psutil寫成的。

node.js中process程序的概念和child_process子程序模組的使用方法示例

本文例項講述了node.js中process程序的概念和child_process子程序模組的使用方法。分享給大家供大家參考,具體如下:

Windows核心程式設計——程序間通訊之dll共享段

使用dll共享資料段在程序中進行通訊   在多個程序間共享資料,windows提供了這種方法,就是建立自己的共享資料節,並將需要共享的變數放入該記憶體中。如果是在相同程式的多個例項間共享資料,只要在exe檔案建立共

multiprocessing多程序模組

multiprocessing多程序模組 前言   其實multiprocessing模組與threading模組的介面都非常相似,但是有一些地方有一些細微差別。所以本文是基於前面的threading模組的一些知識對multiprocessing模組進行講解的。

C#獲取所有檔案

在使用C#進行桌面應用開發中,經常會有對檔案進行操作的情況,這時可能會需要對資料夾進行檔案掃描,獲取所有檔案

JavaScript 模組程序,AMD CMD CommonJS ES6

一、JavaScript模組化的必要性 隨著網站逐漸變成\"網際網路應用程式(WebApp)\",嵌入網頁的Javascript程式碼越來越龐大,越來越複雜。

JDBC | 第五章: JDBC之ResultSet結果集和資料的獲取

JDBC結果集 SQL語句執行後從資料庫查詢讀取資料,返回的資料放在結果集中 ResultSet介面表示資料庫查詢的結果集。

c++ 使用程序id獲取開啟的網路埠

#pragma warning( disable : 4996) #include <winsock2.h> #include <ws2tcpip.h> #include <iphlpapi.h>

關於迴圈獲取資料

一、for迴圈 var list=[]; for(var i in data){   list.push( data[i].num ) } 二、forEach 具體介紹:https://www.runoob.com/jsref/jsref-foreach.html

c# 獲取程序使用者名稱

[DllImport(\"Wtsapi32.dll\")] public static extern bool WTSQuerySessionInformationW( IntPtr hServer, int SessionId,