驱动开发之遍历驱动
一、目标:遍历系统中所有已加载驱动
在内核中,每一个已加载的模块(exe / dll / sys)都会有一个_LDR_DATA_TABLE_ENTRY结构体描述它。
对于驱动来说:会把“当前驱动对应的那个 _LDR_DATA_TABLE_ENTRY 的地址” 存放在 DriverObject->DriverSection 中。 DriverObject->DriverSection=当前驱动自己的 _LDR_DATA_TABLE_ENTRY_LDR_DATA_TABLE_ENTRY并不是孤立存在的, 它的第一个成员InLoadOrderLinks表明:这个结构被设计成“可挂入链表的节点”。
换句话说:每一个模块的_LDR_DATA_TABLE_ENTRY,都和其它模块的_LDR_DATA_TABLE_ENTRY通过LIST_ENTRY相互连接
二、遍历的本质
遍历代码做的事情只有三步:
拿到当前驱动的
_LDR_DATA_TABLE_ENTRY通过它的
InLoadOrderLinks.Flink找到“下一个节点”再从这个节点还原出
下一个模块的 _LDR_DATA_TABLE_ENTRY
遍历驱动
完整代码:
#include<ntddk.h>typedefstruct_LDR_DATA_TABLE_ENTRY{LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID DllBase;PVOID EntryPoint;ULONG SizeOfImage;UNICODE_STRING FullDllName;UNICODE_STRING BaseDllName;ULONG Flags;USHORT LoadCount;USHORT TlsIndex;LIST_ENTRY HashLinks;PVOID SectionPointer;ULONG CheckSum;ULONG TimeDateStamp;PVOID LoadedImports;PVOID EntryPointActivationContext;PVOID PatchInformation;LIST_ENTRY ForwarderLinks;LIST_ENTRY ServiceTagLinks;LIST_ENTRY StaticLinks;PVOID ContextInformation;ULONG OriginalBase;LARGE_INTEGER LoadTime;}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;// 卸载函数VOIDDriverUnload(PDRIVER_OBJECT DriverObject){DbgPrint("(mydriver) 驱动程序停止运行了。\n");}NTSTATUSDriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath){DbgPrint("(mydriver) DRIVER_OBJECT 地址:%p\n",DriverObject);DbgPrint("(mydriver) 驱动名称:%wZ\n",&DriverObject->DriverName);DbgPrint("(mydriver) 模块基址:%p\n",DriverObject->DriverStart);DbgPrint("(mydriver) 模块大小:0x%X\n",DriverObject->DriverSize);DbgPrint("(mydriver) -------开始遍历模块-------\n");// DriverSection 通常指向当前驱动自身的 LDR_DATA_TABLE_ENTRYPLDR_DATA_TABLE_ENTRY first=(PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;if(first==NULL){DbgPrint("(mydriver) DriverSection 为空,无法遍历。\n");DriverObject->DriverUnload=DriverUnload;returnSTATUS_SUCCESS;}// 用 LIST_ENTRY 来做链表遍历PLIST_ENTRY head=&first->InLoadOrderLinks;PLIST_ENTRY cur=head->Flink;inti=0;while(cur!=head){// 从 LIST_ENTRY* 还原回 LDR_DATA_TABLE_ENTRY*PLDR_DATA_TABLE_ENTRY ldr=CONTAINING_RECORD(cur,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);if(ldr->FullDllName.Length!=0){DbgPrint("(mydriver) [%d] %wZ\n",i++,&ldr->FullDllName);// DbgPrint("(mydriver) Base: %wZ\n", &ldr->BaseDllName);// DbgPrint("(mydriver) BaseAddr: %p\n", ldr->DllBase);// DbgPrint("(mydriver) Size: 0x%X\n", ldr->SizeOfImage);}cur=cur->Flink;}DbgPrint("(mydriver) -------遍历结束-------\n");DriverObject->DriverUnload=DriverUnload;returnSTATUS_SUCCESS;}