[分享]一种获取内核模块信息的方式-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]一种获取内核模块信息的方式

2021-9-28 11:18 4124

[分享]一种获取内核模块信息的方式

灵幻空间

2021-9-28 11:18

4124

BOOL GetNtInformation(
	ULONG_PTR* ntBase,
	ULONG_PTR* ntSize
)
{
	if (!ntBase || !ntSize) return false;

	LARGE_INTEGER     ntTemp = { 0 };
	PIMAGE_NT_HEADERS pNt    = nullptr;
	PIMAGE_DOS_HEADER pDos   = nullptr;
	auto pFind0 = (ULONG_PTR)MmGetSystemRoutineAddress;
	auto pFind  = (PUCHAR)pFind0;

	for (unsigned int i = 0; i < 0x30; i++)
	{
		if (pFind[i] == 0x48 && pFind[i + 1] == 0x8B && pFind[i + 2] == 0x0D) {
			ntTemp.QuadPart = (ULONG_PTR)&pFind[i + 7];
			ntTemp.LowPart += *(LONG*)&pFind[i + 3];
			break;
		}
	}

	if (!ntTemp.QuadPart) return false;

	pDos = (PIMAGE_DOS_HEADER)(*(ULONG_PTR*)ntTemp.QuadPart);
	if (!pDos) return false;

	pNt = (PIMAGE_NT_HEADERS)((ULONG_PTR)pDos + pDos->e_lfanew);
	if (!pNt || pNt->Signature != IMAGE_NT_SIGNATURE)
		return false;

	__try {
		*ntBase = (ULONG_PTR)pDos;
		*ntSize = pNt->OptionalHeader.SizeOfImage;
	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		return false;
	}

	return true;
}

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#基础知识 #系统内核 #驱动开发

收藏・1

点赞・0

打赏

最新回复 (1)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2021-9-28 12:09 2 楼 1 这么做，似乎没什么意义
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复