[求助]驱动通过PEB取32位程序模块名和地址问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 2 楼 #ifdef _WIN64 ULONG NTAPI Wx86GetImageHandle( __in PSTR ImageName ) { NTSTATUS Status = STATUS_SUCCESS; PWOW64_PROCESS Wow64Process = NULL; PPEB32 Peb = NULL; PPEB_LDR_DATA32 Ldr = NULL; PLDR_DATA_TABLE_ENTRY32 LdrDataTableEntry = NULL; PLDR_DATA_TABLE_ENTRY32 FoundDataTableEntry = NULL; ANSI_STRING AnsiImageFileName = { 0 }; UNICODE_STRING ImageFileName = { 0 }; UNICODE_STRING Wx86ImageFileName = { 0 }; ULONG ImageBase = 0; Wow64Process = PsGetCurrentProcessWow64Process(); if (NULL != Wow64Process) { Peb = (PPEB32)&Wow64Process->Wow64; Ldr = ULongToPtr(Peb->Ldr); if (NULL != Ldr) { LdrDataTableEntry = CONTAINING_RECORD( &Ldr->InLoadOrderModuleList, LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); FoundDataTableEntry = CONTAINING_RECORD( ULongToPtr(LdrDataTableEntry->InLoadOrderLinks.Flink), LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); if (NULL == ImageName) { FoundDataTableEntry = ULongToPtr(Ldr->EntryInProgress); ImageBase = FoundDataTableEntry->DllBase; Status = STATUS_SUCCESS; goto exit; } else { RtlInitAnsiString( &AnsiImageFileName, ImageName); Status = RtlAnsiStringToUnicodeString( &ImageFileName, &AnsiImageFileName, TRUE); if (NT_SUCCESS(Status)) { while (FoundDataTableEntry != LdrDataTableEntry) { Wx86ImageFileName.Buffer = ULongToPtr(FoundDataTableEntry->BaseDllName.Buffer); Wx86ImageFileName.Length = FoundDataTableEntry->BaseDllName.Length; Wx86ImageFileName.MaximumLength = FoundDataTableEntry->BaseDllName.MaximumLength; if (FALSE != RtlEqualUnicodeString( &ImageFileName, &Wx86ImageFileName, TRUE)) { ImageBase = FoundDataTableEntry->DllBase; Status = STATUS_SUCCESS; goto exit; } FoundDataTableEntry = CONTAINING_RECORD( ULongToPtr(FoundDataTableEntry->InLoadOrderLinks.Flink), LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); } RtlFreeUnicodeString(&ImageFileName); } } } } exit: return ImageBase; } #endif // _WIN64 2018-6-17 22:23 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 3 楼顺便说一句结构体定义在WRK wow64t.h 2018-6-17 22:28 0
雪碧丶雪币： 30 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	雪碧丶 4 楼小艾顺便说一句结构体定义在WRK wow64t.h 懂了谢谢老哥我去试试最后于 2018-6-18 08:38 被雪碧丶编辑，原因：自己傻逼，眼瞎看错字 2018-6-17 22:39 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 5 楼不行联系我。。成品32 64都行。。1907616825 2018-6-19 21:32 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき (+50.00雪花) 6 楼辣是真滴牛批 2018-6-26 22:46 (+50.00雪花) 0
Giftia 雪币： 133 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	Giftia 7 楼 mark peb32 2018-10-31 13:05 0
恋上下班雪币： 116 能力值： (RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	恋上下班 8 楼 50少了点吧 2018-11-26 00:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 2 楼 #ifdef _WIN64 ULONG NTAPI Wx86GetImageHandle( __in PSTR ImageName ) { NTSTATUS Status = STATUS_SUCCESS; PWOW64_PROCESS Wow64Process = NULL; PPEB32 Peb = NULL; PPEB_LDR_DATA32 Ldr = NULL; PLDR_DATA_TABLE_ENTRY32 LdrDataTableEntry = NULL; PLDR_DATA_TABLE_ENTRY32 FoundDataTableEntry = NULL; ANSI_STRING AnsiImageFileName = { 0 }; UNICODE_STRING ImageFileName = { 0 }; UNICODE_STRING Wx86ImageFileName = { 0 }; ULONG ImageBase = 0; Wow64Process = PsGetCurrentProcessWow64Process(); if (NULL != Wow64Process) { Peb = (PPEB32)&Wow64Process->Wow64; Ldr = ULongToPtr(Peb->Ldr); if (NULL != Ldr) { LdrDataTableEntry = CONTAINING_RECORD( &Ldr->InLoadOrderModuleList, LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); FoundDataTableEntry = CONTAINING_RECORD( ULongToPtr(LdrDataTableEntry->InLoadOrderLinks.Flink), LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); if (NULL == ImageName) { FoundDataTableEntry = ULongToPtr(Ldr->EntryInProgress); ImageBase = FoundDataTableEntry->DllBase; Status = STATUS_SUCCESS; goto exit; } else { RtlInitAnsiString( &AnsiImageFileName, ImageName); Status = RtlAnsiStringToUnicodeString( &ImageFileName, &AnsiImageFileName, TRUE); if (NT_SUCCESS(Status)) { while (FoundDataTableEntry != LdrDataTableEntry) { Wx86ImageFileName.Buffer = ULongToPtr(FoundDataTableEntry->BaseDllName.Buffer); Wx86ImageFileName.Length = FoundDataTableEntry->BaseDllName.Length; Wx86ImageFileName.MaximumLength = FoundDataTableEntry->BaseDllName.MaximumLength; if (FALSE != RtlEqualUnicodeString( &ImageFileName, &Wx86ImageFileName, TRUE)) { ImageBase = FoundDataTableEntry->DllBase; Status = STATUS_SUCCESS; goto exit; } FoundDataTableEntry = CONTAINING_RECORD( ULongToPtr(FoundDataTableEntry->InLoadOrderLinks.Flink), LDR_DATA_TABLE_ENTRY32, InLoadOrderLinks); } RtlFreeUnicodeString(&ImageFileName); } } } } exit: return ImageBase; } #endif // _WIN64 2018-6-17 22:23 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 3 楼顺便说一句结构体定义在WRK wow64t.h 2018-6-17 22:28 0
雪碧丶雪币： 30 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	雪碧丶 4 楼小艾顺便说一句结构体定义在WRK wow64t.h 懂了谢谢老哥我去试试最后于 2018-6-18 08:38 被雪碧丶编辑，原因：自己傻逼，眼瞎看错字 2018-6-17 22:39 0
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 5 楼不行联系我。。成品32 64都行。。1907616825 2018-6-19 21:32 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき (+50.00雪花) 6 楼辣是真滴牛批 2018-6-26 22:46 (+50.00雪花) 0
Giftia 雪币： 133 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	Giftia 7 楼 mark peb32 2018-10-31 13:05 0
恋上下班雪币： 116 能力值： (RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	恋上下班 8 楼 50少了点吧 2018-11-26 00:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[已解决] [求助]驱动通过PEB取32位程序模块名和地址问题 50.00雪花