[源码]更正《WIN64驱动编程基础教程》里关于枚举驱动的错误

Tesla.Angela

在教程[5-3]里讲到隐藏驱动的部分，有一个在驱动里通过双向链表枚举出系统所有驱动的代码。

但在枚举结果中，总有一个信息不正确。这就是经典的“链表少一个问题”（『寂寞№梧桐』语）。

于是更正后的代码如下：

游客，如果您要查看本帖隐藏内容请回复

lichao890427

输出驱动全链表的方法：

1. //这里字节对齐要采用默认，不要按1对齐，这样才符合32位和64位结构体
   
2. typedef struct _LDR_DATA_TABLE_ENTRY
   
3. {
   
4.         LIST_ENTRY InLoadOrderLinks;
   
5.         LIST_ENTRY InMemoryOrderLinks;
   
6.         LIST_ENTRY InInitializationOrderLinks;
   
7.         PVOID DllBase;
   
8.         PVOID EntryPoint;
   
9.         ULONG SizeOfImage;
   
10.         UNICODE_STRING FullDllName;
    
11.         UNICODE_STRING BaseDllName;
    
12.         ULONG Flags;
    
13.         USHORT LoadCount;
    
14.         USHORT TlsIndex;
    
15.         union
    
16.         {
    
17.                 LIST_ENTRY HashLinks;
    
18.                 struct
    
19.                 {
    
20.                         PVOID SectionPointer;
    
21.                         ULONG CheckSum;
    
22.                 };
    
23.         };
    
24.         union
    
25.         {
    
26.                 struct
    
27.                 {
    
28.                         ULONG TimeDateStamp;
    
29.                 };
    
30.                 struct
    
31.                 {
    
32.                         PVOID LoadedImports;
    
33.                 };
    
34.         };
    
35.         struct _ACTIVATION_CONTEXT * EntryPointActivationContext;
    
36.         PVOID PatchInformation;
    
37. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
    
38. 
    
39. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
    
40. {
    
41.         PLDR_DATA_TABLE_ENTRY Begin = (PLDR_DATA_TABLE_ENTRY)pDriverObj->DriverSection;
    
42.         PLIST_ENTRY Head = (PLIST_ENTRY)Begin->InLoadOrderLinks.Flink;
    
43.         PLIST_ENTRY Next = Head->Flink;
    
44.         do
    
45.         {
    
46.                 PLDR_DATA_TABLE_ENTRY Entry = CONTAINING_RECORD(Next, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
    
47.                 Next = Next->Flink;
    
48.                 KdPrint(("%wZ\n",&Entry->FullDllName));
    
49.         } while (Next != Head->Flink);
    
50. 
    
51.         return STATUS_SUCCESS;
    
52. }

复制代码

按照微软的写法，自己实现了一次，在xp 32位 64位 和win7 32下测试通过

lichao890427

look

icqw

多谢分享

irooky

lokk

andylau004

学习下，，，，

陌路人

看看怎么回事

laomaotx

这得看看！！！

578052137

看看，学习了

rkq1991

TA大大更正教程了。。。学习一下

upring

两位大侠都很给力

donydh

看看，学习下

hapon

如果您要查看本帖隐藏内容请回复

luqi_44

看看

xiangyan_555

还真没发现呢。。。。。。

xiaomo

这个得看看学习下了

kz丶cn

这个不错 支持

longxjh

过来学习一下

446989572

好吧。。。我使用的时候并没有注意到。。。

绿林科技

谢谢大神

YOUBADBAD

多谢分享

gmhzxy

谢谢TA的分享

lily2997

看过老大教程，竟然没发现~

hanhaochi

我来学习的，正在看教程

alex

教程 [5-5]ForceProcMemRW也有问题，我已在kernelmode.info PM 楼主（m5home?)亦发帖询问　http://www.kernelmode.info/forum/viewtopic.php?f=14&t=3329

safeho

学习下

860000023

看看学习

her23ding

学习学习

jyw0113

学习下看看

365636633

哪里的错误看看

develop2016

我看看

jackwsy

快快快快快快快快快快