ring0和ring3中怎么列出当前加载的所有驱动模块？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
scz 雪币： 4583 活跃值： (3567) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 2 楼你搜一下"枚举内核模块"、"枚举驱动"之类的关键字，没搜？最正经的办法(ring 0 ring 3基本一样) Status = ZwQuerySystemInformation ( SystemModuleInformation, Buffer, BufferSize, &ReturnLength ); 至于一大堆不正经的办法，用上面的关键字搜 2009-12-21 09:10 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 3 楼下面有个方法： typedef struct _SYSTEM_MODULE_INFORMATION // Information Class 11 { ULONG Reserved[2];// +0 PVOID Base; // +08h ULONG Size; // +0ch ULONG Flags; // +10h USHORT Index; // +14h USHORT Unknown; // +16h USHORT LoadCount; // +18h USHORT ModuleNameOffset;/// +1Ah CHAR ImageName[256]; // +1Ch } SYSTEM_MODULE_INFORMATION, PSYSTEM_MODULE_INFORMATION; int main(int argc, char argv[]) { // _asm int 3 CHAR WinDir[MAX_PATH]={0}; // WCHAR drvName[]=L"\\123.txt"; // GetSystemDirectory(sysDir, MAX_PATH); ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation; PSYSTEM_MODULE_INFORMATION smi; DWORD pRet; DWORD nRetSize; int i; // _asm int 3 ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibrary("ntdll.dll"),"ZwQuerySystemInformation"); ZwQuerySystemInformation(0xb,&pRet,0,&nRetSize); pRet=(DWORD)GlobalAlloc(GMEM_ZEROINIT,nRetSize); ZwQuerySystemInformation(0xb,pRet,nRetSize,&nRetSize); int n=pRet; smi=(PSYSTEM_MODULE_INFORMATION)((PULONG)pRet+1); DWORD basea=(DWORD)smi; char p; for(i=0;i<n;i++) { memset(WinDir,0,MAX_PATH); GetWindowsDirectory(WinDir, MAX_PATH); strlwr(smi->ImageName); if(smi->ImageName[0]==0x5c\|\|smi->ImageName[0]==0x3F) { if (smi->ImageName[1]==0x77&& smi->ImageName[2]==0x69&& smi->ImageName[3]==0x6E&& smi->ImageName[4]==0x64&& smi->ImageName[5]==0x6F) { p=strstr(smi->ImageName+1,"\\"); if (p) { strcat(WinDir,p); } } else if (smi->ImageName[1]==0x3F) { memset(WinDir,0,MAX_PATH); strcpy(WinDir,smi->ImageName+4); } else { p=strstr(smi->ImageName+1,"\\"); if (p) { strcat(WinDir,p); } } } else { memset(WinDir,0,MAX_PATH); strcat(WinDir,smi->ImageName); } printf("0x%08X %s\n",smi->Base,WinDir); smi=(PSYSTEM_MODULE_INFORMATION)(basea+0x11c*(i+1)); //smi++; } return 0; } 2009-12-21 13:56 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 4 楼 r3的方法啊,应该注明！ 2010-4-8 12:55 0
chinapy 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 73 粉丝 0 关注私信	chinapy 5 楼学习一下菜鸟看这个有点难度 2010-4-8 20:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
scz 雪币： 4583 活跃值： (3567) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 2 楼你搜一下"枚举内核模块"、"枚举驱动"之类的关键字，没搜？最正经的办法(ring 0 ring 3基本一样) Status = ZwQuerySystemInformation ( SystemModuleInformation, Buffer, BufferSize, &ReturnLength ); 至于一大堆不正经的办法，用上面的关键字搜 2009-12-21 09:10 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 3 楼下面有个方法： typedef struct _SYSTEM_MODULE_INFORMATION // Information Class 11 { ULONG Reserved[2];// +0 PVOID Base; // +08h ULONG Size; // +0ch ULONG Flags; // +10h USHORT Index; // +14h USHORT Unknown; // +16h USHORT LoadCount; // +18h USHORT ModuleNameOffset;/// +1Ah CHAR ImageName[256]; // +1Ch } SYSTEM_MODULE_INFORMATION, PSYSTEM_MODULE_INFORMATION; int main(int argc, char argv[]) { // _asm int 3 CHAR WinDir[MAX_PATH]={0}; // WCHAR drvName[]=L"\\123.txt"; // GetSystemDirectory(sysDir, MAX_PATH); ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation; PSYSTEM_MODULE_INFORMATION smi; DWORD pRet; DWORD nRetSize; int i; // _asm int 3 ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibrary("ntdll.dll"),"ZwQuerySystemInformation"); ZwQuerySystemInformation(0xb,&pRet,0,&nRetSize); pRet=(DWORD)GlobalAlloc(GMEM_ZEROINIT,nRetSize); ZwQuerySystemInformation(0xb,pRet,nRetSize,&nRetSize); int n=pRet; smi=(PSYSTEM_MODULE_INFORMATION)((PULONG)pRet+1); DWORD basea=(DWORD)smi; char p; for(i=0;i<n;i++) { memset(WinDir,0,MAX_PATH); GetWindowsDirectory(WinDir, MAX_PATH); strlwr(smi->ImageName); if(smi->ImageName[0]==0x5c\|\|smi->ImageName[0]==0x3F) { if (smi->ImageName[1]==0x77&& smi->ImageName[2]==0x69&& smi->ImageName[3]==0x6E&& smi->ImageName[4]==0x64&& smi->ImageName[5]==0x6F) { p=strstr(smi->ImageName+1,"\\"); if (p) { strcat(WinDir,p); } } else if (smi->ImageName[1]==0x3F) { memset(WinDir,0,MAX_PATH); strcpy(WinDir,smi->ImageName+4); } else { p=strstr(smi->ImageName+1,"\\"); if (p) { strcat(WinDir,p); } } } else { memset(WinDir,0,MAX_PATH); strcat(WinDir,smi->ImageName); } printf("0x%08X %s\n",smi->Base,WinDir); smi=(PSYSTEM_MODULE_INFORMATION)(basea+0x11c*(i+1)); //smi++; } return 0; } 2009-12-21 13:56 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 4 楼 r3的方法啊,应该注明！ 2010-4-8 12:55 0
chinapy 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 73 粉丝 0 关注私信	chinapy 5 楼学习一下菜鸟看这个有点难度 2010-4-8 20:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] ring0和ring3中 怎么列出当前加载的所有驱动模块？ 0.00雪花

[旧帖] ring0和ring3中怎么列出当前加载的所有驱动模块？ 0.00雪花