[转换][非原创]驱动里枚举内核模块

Tesla.Angela

拿网上Ring 3的代码转成Ring 0的，没什么价值，发这里当是灌水了。

#include <ntddk.h>

NTKERNELAPI    NTSTATUS ObOpenObjectByPointer( IN PVOID  Object,IN ULONG  HandleAttributes,IN PACCESS_STATE PassedAccessState,IN ACCESS_MASK DesiredAccess,IN POBJECT_TYPE ObjectType,IN KPROCESSOR_MODE  AccessMode,OUT HANDLE Handle );
NTKERNELAPI    NTSTATUS ZwQuerySystemInformation(ULONG SystemInformationClass,PVOID SystemInformation,ULONG SystemInformationLength,PULONG ReturnLength);
NTKERNELAPI    NTSTATUS ZwAllocateVirtualMemory(HANDLE ProcessHandle,PVOID *BaseAddress,ULONG_PTR ZeroBits,PSIZE_T RegionSize,ULONG AllocationType,ULONG Protect);
NTKERNELAPI    NTSTATUS ZwFreeVirtualMemory(HANDLE ProcessHandle,PVOID *BaseAddress,PSIZE_T RegionSize,ULONG FreeType);

typedef struct _SYSTEM_MODULE_INFORMATION
{
    ULONG   Reserved[2];
    PVOID   Base;
    ULONG   Size;
    ULONG   Flags;
    USHORT  Index;
    USHORT  Unknown;
    USHORT  LoadCount;
    USHORT  ModuleNameOffset;
    CHAR    ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

HANDLE GetCurrentProcess()
{
    HANDLE hprocess;
    ObOpenObjectByPointer(PsGetCurrentProcess(),0,0,0,0,0,&hprocess) ;
    return hprocess;
}

int EnumKernelDlls()
{
    NTSTATUS status = STATUS_SUCCESS;
    ULONG moduleNum,len,retLen;
    PSYSTEM_MODULE_INFORMATION module = NULL;
    HANDLE CurProc = GetCurrentProcess();
    PVOID buf=0;
    int ii=0;
    ZwQuerySystemInformation(11,NULL,0,&len);//DbgPrint("len= %d\n",len);
    status=ZwAllocateVirtualMemory(CurProc,&buf,0,&len,MEM_COMMIT,PAGE_READWRITE);
    if (!NT_SUCCESS(status))
    {
        DbgPrint("allocate failed !\n");
        return 0;
    }
    status=ZwQuerySystemInformation(11,buf,len,&retLen);
    if (!NT_SUCCESS(status))
    {
        DbgPrint("query failed!\n");
        return 0;
    }
    module=(PSYSTEM_MODULE_INFORMATION)((PULONG)buf+1);
    moduleNum=*((PULONG)buf);
    DbgPrint("\n--------------------------------------------------------------------\n");
    for (ii=0;ii<moduleNum;ii++)
    {
        DbgPrint("ID:%3d\tBaseAddress:0x%08X\tModuleName:%12s\tsize:%7d\n",
                    ii+1,
                    module->Base,
                    module->ImageName + module->ModuleNameOffset,
                    module->Size);
        module++;
    }
    DbgPrint("--------------------------------------------------------------------\n");
    ZwFreeVirtualMemory(CurProc,&buf,&len,MEM_RELEASE);
    return 0;
}

顺便赞一下老罗的代码高亮软件，真好用。

HoviDelphic

转载：通过PsLoadedModuleList枚举驱动

1. 
   
2. /*
   
3. By VirusWizard
   
4. 2009.7.18
   
5. 一种相对来说比较古老的方法，NtQuerySystemInformation内部也是使用这种方法。
   
6. 对付此方法相当简单，从双向链表里摘除即可。
   
7. 这个LDR_DATA_TABLE_ENTRY结构算是比较完整的了，从WRK抠出来的。
   
8. LDR_DATA_TABLE_ENTRY也可以用于枚举PEB中的模块，隐藏模块的方法也是一样的。
   
9. */
   
10. typedef struct _LDR_DATA_TABLE_ENTRY {
    
11.      LIST_ENTRY InLoadOrderLinks;
    
12.      LIST_ENTRY InMemoryOrderLinks;
    
13.      LIST_ENTRY InInitializationOrderLinks;
    
14.     PVOID DllBase;
    
15.     PVOID EntryPoint;
    
16.     ULONG SizeOfImage;
    
17.     UNICODE_STRING FullDllName;
    
18.     UNICODE_STRING BaseDllName;
    
19.     ULONG Flags;
    
20.     USHORT LoadCount;
    
21.     USHORT TlsIndex;
    
22.     union {
    
23.          LIST_ENTRY HashLinks;
    
24.          struct {
    
25.             PVOID SectionPointer;
    
26.             ULONG CheckSum;
    
27.          };
    
28.      };
    
29.     union {
    
30.          struct {
    
31.             ULONG TimeDateStamp;
    
32.          };
    
33.          struct {
    
34.             PVOID LoadedImports;
    
35.          };
    
36.      };
    
37.      struct _ACTIVATION_CONTEXT * EntryPointActivationContext;
    
38.     PVOID PatchInformation;
    
39. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
    
40. 
    
41. NTSTATUS EnumDriver(
    
42.             PDRIVER_OBJECT pDrvObj
    
43.              );
    
44. //////////////////////////////////////////////////////////////////////////
    
45. NTSTATUS DriverEntry(
    
46.              PDRIVER_OBJECT pDriverObj,
    
47.              PUNICODE_STRING pRegistryString
    
48.               )
    
49. {
    
50.      pDriverObj->DriverUnload = DriverUnload;
    
51.      EnumDriver(pDriverObj);
    
52.      dprintf("[EnumDrv] Loaded \n");
    
53.     return STATUS_SUCCESS;
    
54. }
    
55. 
    
56. VOID DriverUnload(
    
57.           PDRIVER_OBJECT pDriverObj
    
58.            )
    
59. {
    
60.      dprintf("[EnumDrv] Unloaded\n");
    
61. }
    
62. 
    
63. NTSTATUS EnumDriver(
    
64.             PDRIVER_OBJECT pDrvObj
    
65.              )
    
66. {
    
67.     NTSTATUS status = STATUS_UNSUCCESSFUL;
    
68.      PLIST_ENTRY pList = NULL;
    
69.      PLDR_DATA_TABLE_ENTRY Ldr = NULL;
    
70.     int nCount = 0;
    
71.      pList = ( (PLIST_ENTRY)pDrvObj->DriverSection )->Flink;
    
72.     do
    
73.      {
    
74.          Ldr = CONTAINING_RECORD(
    
75.              pList,
    
76.              LDR_DATA_TABLE_ENTRY,
    
77.              InLoadOrderLinks);
    
78.         if ( Ldr->EntryPoint &&
    
79.              Ldr->FullDllName.Buffer )
    
80.          {
    
81.              dprintf("DriveName : %S\n",Ldr->FullDllName.Buffer);
    
82.              dprintf("ImageBase : 0x%08X.\n",Ldr->DllBase);
    
83.              dprintf("ImageSize : 0x%08X.\n",Ldr->SizeOfImage);
    
84.              dprintf("EntryPoint : 0x%08X.\n",Ldr->EntryPoint);
    
85.              dprintf("-------------------------------\n");
    
86.              nCount++;
    
87.          }
    
88.          pList = pList->Flink;
    
89.      } while ( pList != ((LIST_ENTRY*)pDrvObj->DriverSection)->Flink );
    
90.      dprintf("NumOfDriver : %d.\n",nCount);
    
91.     return STATUS_SUCCESS;
    
92. }a
    

复制代码