[求助]关于驱动获取模块加载地址(DllBase)-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]关于驱动获取模块加载地址(DllBase)

发表于: 2020-2-17 10:09 3333

未解决 [求助]关于驱动获取模块加载地址(DllBase)

黑白条纹

2020-2-17 10:09

3333

源码如下:

//枚举进程DLL获得加载地址

void GetProcessModule(HANDLE hProcessID, unsigned short* uni_ModuleName, void* Buffer)

{

UNICODE_STRING uniModuleName = { NULL };

RtlInitUnicodeString(&uniModuleName, uni_ModuleName);

PUNICODE_STRING uni_alloc = ExAllocatePoolWithTag(PagedPool, uniModuleName.Length, 'pinu');

*uni_alloc = uniModuleName;

NTSTATUS nStatus;

//PEB结构指针

PPEB pPEB = NULL;

//EPROCESS结构指针

PEPROCESS pEProcess = NULL;

//查找的函数名称

UNICODE_STRING uniFunctionName;

//进程参数信息

PRTL_USER_PROCESS_PARAMETERS pParam = NULL;

//LDR数据结构

PPEB_LDR_DATA pPebLdrData = NULL;

//LDR链表入口

PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;

//链表头节点、尾节点

PLIST_ENTRY pListEntryStart = NULL;

PLIST_ENTRY pListEntryEnd = NULL;

//函数指针

PFNPsGetProcessPeb PsGetProcessPeb = NULL;

//保存APC状态

KAPC_STATE KAPC = { 0 };

//是否已经附加到进程

BOOLEAN bIsAttached = FALSE;

//获取进程的EPROCESS结构指针

nStatus = PsLookupProcessByProcessId((HANDLE)hProcessID, &pEProcess);

if (!NT_SUCCESS(nStatus))

{

return;

}

//查找函数地址

RtlInitUnicodeString(&uniFunctionName, L"PsGetProcessPeb");

PsGetProcessPeb = (PFNPsGetProcessPeb)MmGetSystemRoutineAddress(&uniFunctionName);

if (PsGetProcessPeb == NULL)

{

KdPrint(("Get PsGetProcessPeb Failed~!\n"));

return;

}

//获取PEB指针

pPEB = PsGetProcessPeb(pEProcess);

if (pPEB == NULL)

{

KdPrint(("Get pPEB Failed~!\n"));

return;

}

//附加到进程

KeStackAttachProcess(pEProcess, &KAPC);

bIsAttached = TRUE;

//指向LDR

pPebLdrData = pPEB->Ldr;

//头节点、尾节点

pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;

//开始遍历_LDR_DATA_TABLE_ENTRY

{

//通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构

pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);

pListEntryStart = pListEntryStart->Flink;

} while (!RtlEqualUnicodeString(uni_alloc, &pLdrDataEntry->BaseDllName, TRUE));

//数据传递

memcpy(Buffer, &pLdrDataEntry->DllBase, sizeof(pLdrDataEntry->DllBase));

//Detach进程

if (bIsAttached != FALSE)

{

KeUnstackDetachProcess(&KAPC);

}

//减少引用计数

if (pEProcess != NULL)

{

ObDereferenceObject(pEProcess);

pEProcess = NULL;

}

return;

}

问题就出在KeStackAttackProcess之前uni_alloc是正常的传进来的DLL名，在Attach之后，就会变动，应该是指针访问的问题,不知道怎么解决，望大佬解决

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・2

免费・0

支持

最新回复 (3)
黑白条纹雪币： 198 活跃值： (81) 能力值： (RANK：10 ) 在线值：发帖 16 回帖 69 粉丝 2 关注私信	黑白条纹 2 楼顶 2020-2-17 10:26 0
黑白条纹雪币： 198 活跃值： (81) 能力值： (RANK：10 ) 在线值：发帖 16 回帖 69 粉丝 2 关注私信	黑白条纹 3 楼顶 2020-2-17 11:43 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 4 楼标题：用文档化方法列举系统模块作者：nightxie 时间：2008-10-12 15:07:08 链接：http://bbs.pediy.com/showthread.php?t=74504 2020-2-17 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

黑白条纹

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
黑白条纹雪币： 198 活跃值： (81) 能力值： (RANK：10 ) 在线值：发帖 16 回帖 69 粉丝 2 关注私信	黑白条纹 2 楼顶 2020-2-17 10:26 0
黑白条纹雪币： 198 活跃值： (81) 能力值： (RANK：10 ) 在线值：发帖 16 回帖 69 粉丝 2 关注私信	黑白条纹 3 楼顶 2020-2-17 11:43 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 4 楼标题：用文档化方法列举系统模块作者：nightxie 时间：2008-10-12 15:07:08 链接：http://bbs.pediy.com/showthread.php?t=74504 2020-2-17 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复