x64驱动 遍历驱动模块

_LDR_DATA_TABLE_ENTRY（未导出）

以下是win10 1803（x64） 上的 _LDR_DATA_TABLE_ENTRY：

lkd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_DATA_TABLE_ENTRY +0x000 InLoadOrderLinks : _LIST_ENTRY // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks 成员 +0x010 InMemoryOrderLinks : _LIST_ENTRY // 不要使用（蓝屏） +0x020 InInitializationOrderLinks : _LIST_ENTRY // 不要使用（蓝屏） +0x030 DllBase : Ptr64 Void // 驱动模块基地址 +0x038 EntryPoint : Ptr64 Void // 驱动入口点 +0x040 SizeOfImage : Uint4B // 驱动模块大小 +0x048 FullDllName : _UNICODE_STRING // 驱动模块全路径 +0x058 BaseDllName : _UNICODE_STRING // 驱动模块名 +0x068 FlagGroup : [4] UChar // 标志组 +0x068 Flags : Uint4B // 标志 +0x068 PackagedBinary : Pos 0, 1 Bit +0x068 MarkedForRemoval : Pos 1, 1 Bit +0x068 ImageDll : Pos 2, 1 Bit +0x068 LoadNotificationsSent : Pos 3, 1 Bit +0x068 TelemetryEntryProcessed : Pos 4, 1 Bit +0x068 ProcessStaticImport : Pos 5, 1 Bit +0x068 InLegacyLists : Pos 6, 1 Bit +0x068 InIndexes : Pos 7, 1 Bit +0x068 ShimDll : Pos 8, 1 Bit +0x068 InExceptionTable : Pos 9, 1 Bit +0x068 ReservedFlags1 : Pos 10, 2 Bits +0x068 LoadInProgress : Pos 12, 1 Bit +0x068 LoadConfigProcessed : Pos 13, 1 Bit +0x068 EntryProcessed : Pos 14, 1 Bit +0x068 ProtectDelayLoad : Pos 15, 1 Bit +0x068 ReservedFlags3 : Pos 16, 2 Bits +0x068 DontCallForThreads : Pos 18, 1 Bit +0x068 ProcessAttachCalled : Pos 19, 1 Bit +0x068 ProcessAttachFailed : Pos 20, 1 Bit +0x068 CorDeferredValidate : Pos 21, 1 Bit +0x068 CorImage : Pos 22, 1 Bit +0x068 DontRelocate : Pos 23, 1 Bit +0x068 CorILOnly : Pos 24, 1 Bit +0x068 ChpeImage : Pos 25, 1 Bit +0x068 ReservedFlags5 : Pos 26, 2 Bits +0x068 Redirected : Pos 28, 1 Bit +0x068 ReservedFlags6 : Pos 29, 2 Bits +0x068 CompatDatabaseProcessed : Pos 31, 1 Bit +0x06c ObsoleteLoadCount : Uint2B // 负载计数 +0x06e TlsIndex : Uint2B // TLS 索引 +0x070 HashLinks : _LIST_ENTRY // Hash 链表 +0x080 TimeDateStamp : Uint4B // 日期标志 +0x088 EntryPointActivationContext : Ptr64 _ACTIVATION_CONTEXT // 入口点激活上下文 +0x090 Lock : Ptr64 Void // 锁 +0x098 DdagNode : Ptr64 _LDR_DDAG_NODE // DDAG 节点 +0x0a0 NodeModuleLink : _LIST_ENTRY // 模块节点链表 +0x0b0 LoadContext : Ptr64 _LDRP_LOAD_CONTEXT // 加载上下文 +0x0b8 ParentDllBase : Ptr64 Void // 父模块基地址 +0x0c0 SwitchBackContext : Ptr64 Void // 回转上下文 +0x0c8 BaseAddressIndexNode : _RTL_BALANCED_NODE // 基地址索引节点 +0x0e0 MappingInfoIndexNode : _RTL_BALANCED_NODE // 映射信息索引节点 +0x0f8 OriginalBase : Uint8B // 原始基地址 +0x100 LoadTime : _LARGE_INTEGER // 加载时间 +0x108 BaseNameHashValue : Uint4B // 返回路径中的文件名哈希值 +0x10c LoadReason : _LDR_DLL_LOAD_REASON // 加载原因 +0x110 ImplicitPathOptions : Uint4B // 隐式路径设置 +0x114 ReferenceCount : Uint4B // 参考数目 +0x118 DependentLoadFlags : Uint4B // 附属加载标志 +0x11c SigningLevel : UChar // 签名等级

_DRIVER_OBJECT

typedef struct _DRIVER_OBJECT { CSHORT Type; // 类型 CSHORT Size; // 大小 PDEVICE_OBJECT DeviceObject; // 设备对象指针 ULONG Flags; // 标志 PVOID DriverStart; // 驱动起始地址 ULONG DriverSize; // 驱动大小 PVOID DriverSection; // 驱动节 <---------- 【我们用到的成员，它指向 _LDR_DATA_TABLE_ENTRY 结构】 PDRIVER_EXTENSION DriverExtension; // 驱动程序扩展的指针 UNICODE_STRING DriverName; // 驱动名 PUNICODE_STRING HardwareDatabase; // 指向注册表 \Registry\Machine\Hardware 的指针 PFAST_IO_DISPATCH FastIoDispatch; // 指向驱动快速 I/O 入口的指针 PDRIVER_INITIALIZE DriverInit; // 驱动程序入口点 PDRIVER_STARTIO DriverStartIo; // 驱动程序启动函数入口点 PDRIVER_UNLOAD DriverUnload; // 驱动程序卸载函数入口点 PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1]; // IRP 函数入口点 } DRIVER_OBJECT, *PDRIVER_OBJECT;

代码：

// 定义 _LDR_DATA_TABLE_ENTRY 结构（因为我只用到了结构的一部分所以没有把 windbg 所有的成员都拷贝过来） typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; // 指向下一个 _LDR_DATA_TABLE_ENTRY 的 InLoadOrderLinks LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; // 模块基地址 PVOID EntryPoint; // 入口点 ULONG SizeOfImage; // 驱动大小 UNICODE_STRING FullDllName; // 模块全路径 UNICODE_STRING BaseDllName; // 模块名 }LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY; extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath){ // 定义返回值 NTSTATUS status; // 输出日志 DbgPrint("[LYSM] DriverEntry start.\n"); // 指定驱动卸载函数 DriverObject->DriverUnload = (PDRIVER_UNLOAD)DriverUnload; // 初始化 PLDR_DATA_TABLE_ENTRY 实例 PLDR_DATA_TABLE_ENTRY pLdr = (PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection; // 定义 InLoadOrderLinks 双向链表头 PLIST_ENTRY pListEntry = pLdr->InLoadOrderLinks.Flink; // 定义 InLoadOrderLinks 当前节点 PLIST_ENTRY pCurrentListEntry = pListEntry->Flink; // 遍历双向链表 PLDR_DATA_TABLE_ENTRY pCurrentModule = NULL; while (pCurrentListEntry != pListEntry){ // 根据成员反推基地址 pCurrentModule = CONTAINING_RECORD(pCurrentListEntry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks); if (!MmIsAddressValid(pCurrentModule)) { DbgPrint("[LYSM] pCurrentModule 不可读 \n"); goto while_end; } // 打印 DbgPrint("[LYSM] DllBase:%p \n", pCurrentModule->DllBase); DbgPrint("[LYSM] EntryPoint:%p \n", pCurrentModule->EntryPoint); DbgPrint("[LYSM] SizeOfImage:%p \n", pCurrentModule->SizeOfImage); DbgPrint("[LYSM] FullDllName:%wZ \n", pCurrentModule->FullDllName); DbgPrint("[LYSM] BaseDllName:%wZ \n", pCurrentModule->BaseDllName); while_end: pCurrentListEntry = pCurrentListEntry->Flink; } }

效果图：