L o a d i n g . . .
主打一个C++
Hello, tourist
最新公告:
站长技术支持范围公示
关于站点部分功能操作
《心灵交汇的角落:访客公告》
The Blog
Leave traces here
13,2025 03 月
随机文章 mfc窗口设置窗口背景透明度html实时网页代码编写测试实时浏览html-php网页禁止资源等缓存策略,获取服务器最新数据html中在iframe框架中使用javascript获取主页面documenthtml隐藏input=number的右侧增加减少数字按钮通过ip地址查询归属地,使用库ip2regionphp数字金额转中文大写文本mysql字段中主键(PRIMARY KEY)与唯一键(UNIQUE KEY)的区别php使用php-font-lib库解析字体文件中的字形码点信息QT窗口样式的常用设定setWindowFlags
文章详情

C++驱动层通过内核导出变量PsLoadedModuleList遍历获取驱动信息

Posted on 2018-08-10 13:21:35 by 主打一个C++

LDR_DATA_TABLE_ENTRY结构:

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	USHORT LoadCount;
	USHORT TlsIndex;
	union {
		LIST_ENTRY HashLinks;
		struct {
			PVOID SectionPointer;
			ULONG CheckSum;
		};
	};
	union {
		struct {
			ULONG TimeDateStamp;
		};
		struct {
			PVOID LoadedImports;
		};
	};
	struct _ACTIVATION_CONTEXT* EntryPointActivationContext;

	PVOID PatchInformation;

} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;

关键遍历函数:

void EnumDriver()
{

	int count = 0;
	PLIST_ENTRY listHead = PsLoadedModuleList.Flink;
	PLIST_ENTRY entry= listHead;
	for (entry = listHead->Flink; entry != listHead && ++count < 500; entry = entry->Flink)
	{
		// 假定类型为LDR_DATA_TABLE_ENTRY
		PLDR_DATA_TABLE_ENTRY moduleEntry = CONTAINING_RECORD(entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

		// 获取模块名称,作为测试,只输出名称即可
		UNICODE_STRING moduleName = moduleEntry->BaseDllName;

		// 根据模块名获取PDRIVER_OBJECT
		//PDRIVER_OBJECT driverObject = NULL;

		DbgPrint("[%d] Name=[%ws]\n", count, moduleName.Buffer);
	}
}

image.png

*转载请注明出处:原文链接:https://cpp.vin/page/83.html

作者近期文章
  • 随手笔记
  • 关于github访问受阻的问题
  • 主打一个C++   2025-01-11 20:02:01
  • 都2000000025年了。还有不能随意访问guthub的,仔细看。在国内其实是可以正常访问的,gfw并没屏蔽。这里给出其中一个简单直接的方法稳定访问。1. 随便百度一个”dn
辩论记录
灵魂辩论
Submit
提示
×
确定
数据库执行: 8次 总耗时: 0.01s
页面加载耗时: 
wechat +447752296473
wechat cpp-blog
发起会话
技术范围公示