基址获取与驱动开发：内核中提取ntoskrnl模块的基地址方法解析

作者：mobiledu2502892513 | 来源：互联网 | 2024-11-04 15:56

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。模块是程序加载时被动态装载的，模块在

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动ntoskrnl.exe的基地址以及长度，此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。

关于该程序的解释，官方的解析是这样的ntoskrnl.exe是Windows操作系统的一个重要内核程序，里面存储了大量的二进制内核代码，用于调度系统时使用，也是操作系统启动后第一个被加载的程序，通常该进程在任务管理器中显示为System。

使用ARK工具也可看出其代表的是第一个驱动模块。

那么如何使用代码得到如上图中所展示的基地址以及大小呢，实现此功能我们需要调用ZwQuerySystemInformation这个API函数，这与上一篇文章《驱动开发：判断自身是否加载成功》所使用的NtQuerySystemInformation只是开头部分不同，但其本质上是不同的，如下是一些参考资料；

从内核模式调用Nt和Zw系列API，其最终都会连接到nooskrnl.lib导出库:
- Nt系列API将直接调用对应的函数代码，而Zw系列API则通过调用KiSystemService最终跳转到对应的函数代码。
- 重要的是两种不同的调用对内核中previous mode的改变，如果是从用户模式调用Native API则previous mode是用户态，如果从内核模式调用Native API则previous mode是内核态。
- 如果previous为用户态时Native API将对传递的参数进行严格的检查，而为内核态时则不会检查。

调用Nt API时不会改变previous mode的状态，调用Zw API时会将previous mode改为内核态，因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查，提高效率。Zw*会设置KernelMode已避免检查，Nt*不会自动设置，如果是KernelMode当然没问题，如果就UserMode就挂了。

回到代码上来，下方代码就是获取ntoskrnl.exe基地址以及长度的具体实现，核心代码就是调用ZwQuerySystemInformation得到SystemModuleInformation，里面的对比部分是在比较当前获取的地址是否超出了ntoskrnl的最大和最小范围。

#include static PVOID g_KernelBase = 0; static ULONG g_KernelSize = 0; #pragma pack(4) typedef struct _PEB32 UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG Mutant; ULONG ImageBaseAddress; ULONG Ldr; ULONG ProcessParameters; ULONG SubSystemData; ULONG ProcessHeap; ULONG FastPebLock; ULONG AtlThunkSListPtr; ULONG IFEOKey; ULONG CrossProcessFlags; ULONG UserSharedInfoPtr; ULONG SystemReserved; ULONG AtlThunkSListPtr32; ULONG ApiSetMap; PEB32, *PPEB32; typedef struct _PEB_LDR_DATA32 ULONG Length; UCHAR Initialized; ULONG SsHandle; LIST_ENTRY32 InLoadOrderModuleList; LIST_ENTRY32 InMemoryOrderModuleList; LIST_ENTRY32 InInitializationOrderModuleList; PEB_LDR_DATA32, *PPEB_LDR_DATA32; typedef struct _LDR_DATA_TABLE_ENTRY32 LIST_ENTRY32 InLoadOrderLinks; LIST_ENTRY32 InMemoryOrderLinks; LIST_ENTRY32 InInitializationOrderLinks; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING32 FullDllName; UNICODE_STRING32 BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; LIST_ENTRY32 HashLinks; ULONG TimeDateStamp; LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32; #pragma pack() typedef struct _RTL_PROCESS_MODULE_INFORMATION HANDLE Section; PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; UCHAR FullPathName[256]; RTL_PROCESS_MODULE_INFORMATION, *PRTL_PROCESS_MODULE_INFORMATION; typedef struct _RTL_PROCESS_MODULES ULONG NumberOfModules; RTL_PROCESS_MODULE_INFORMATION Modules[1]; RTL_PROCESS_MODULES, *PRTL_PROCESS_MODULES; typedef enum _SYSTEM_INFORMATION_CLASS SystemModuleInformation = 0xb, SYSTEM_INFORMATION_CLASS; // 取出KernelBase基地址 // By: lyshark.com PVOID UtilKernelBase(OUT PULONG pSize) NTSTATUS status = STATUS_SUCCESS; ULONG bytes = 0; PRTL_PROCESS_MODULES pMods = 0; PVOID checkPtr = 0; UNICODE_STRING routineName; if (g_KernelBase != 0) if (pSize) *pSize = g_KernelSize; return g_KernelBase; RtlInitUnicodeString(&routineName, L"NtOpenFile"); checkPtr = MmGetSystemRoutineAddress(&routineName); if (checkPtr == 0) return 0; __try status = ZwQuerySystemInformation(SystemModuleInformation, 0, bytes, &bytes); if (bytes == 0) DbgPrint("Invalid SystemModuleInformation size\\n"); return 0; pMods = (PRTL_PROCESS_MODULES)ExAllocatePoolWithTag(NonPagedPoolNx, bytes, "lyshark"); RtlZeroMemory(pMods, bytes); status = ZwQuerySystemInformation(SystemModuleInformation, pMods, bytes, &bytes); if (NT_SUCCESS(status)) PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules; for (ULONG i = 0; i NumberOfModules; i++) if (checkPtr >= pMod[i].ImageBase && checkPtr <(PVOID)((PUCHAR)pMod[i].ImageBase + pMod[i].ImageSize)) g_KernelBase = pMod[i].ImageBase; g_KernelSize = pMod[i].ImageSize; if (pSize) *pSize = g_KernelSize; break; __except (EXCEPTION_EXECUTE_HANDLER) return 0; if (pMods) ExFreePoolWithTag(pMods, "lyshark"); return g_KernelBase; VOID UnDriver(PDRIVER_OBJECT driver) DbgPrint(("Uninstall Driver Is OK \\n")); NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) DbgPrint(("hello lyshark \\n")); PULONG ulOng= 0; UtilKernelBase(ulong); DbgPrint("ntoskrnl.exe 模块基址: 0x%p \\n", g_KernelBase); DbgPrint("模块大小: 0x%p \\n", g_KernelSize); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS;

我们编译并运行上方代码，效果如下：

参考文献：

https://blog.csdn.net/u012410612/article/details/17096597

推荐阅读

import
Transforming the Future of Virtual Worlds

Explore how Matterverse is redefining the metaverse experience, creating immersive and meaningful virtual environments that foster genuine connections and economic opportunities. ... [详细]

蜡笔小新 2024-12-28 09:44:49
io
网络链路质量监控：Smokeping部署与配置

本文详细介绍了如何在Linux系统上安装和配置Smokeping，以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装，确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]

蜡笔小新 2024-12-27 19:31:05
text
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
request
Handling Null Object Encoding in OAuth 1.0a API Implementation

Explore a common issue encountered when implementing an OAuth 1.0a API, specifically the inability to encode null objects and how to resolve it. ... [详细]

蜡笔小新 2024-12-28 08:54:34
io
python的交互模式怎么输出名文汉字[python常见问题]

在命令行模式下敲命令python，就看到类似如下的一堆文本输出，然后就进入到Python交互模式，它的提示符是>>>，此时我们可以使用print() ... [详细]

蜡笔小新 2024-12-27 21:32:05
io
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
text
使用 Azure Service Principal 和 Microsoft Graph API 获取 AAD 用户列表

本文介绍了一段通用代码示例，该代码不仅能够操作 Azure Active Directory (AAD)，还可以通过 Azure Service Principal 的授权访问和管理 Azure 订阅资源。Azure 的架构可以分为两个层级：AAD 和 Subscription。 ... [详细]

蜡笔小新 2024-12-27 16:07:12
text
DNN Community 和 Professional 版本的主要差异

本文详细解析了 DotNetNuke (DNN) 的两种主要版本：Community 和 Professional。通过对比两者的功能和附加组件，帮助用户选择最适合其需求的版本。 ... [详细]

蜡笔小新 2024-12-27 13:14:08
include
UNP 第9章：主机名与地址转换

本章探讨了用于在主机名和数值地址之间进行转换的函数，如gethostbyname和gethostbyaddr。此外，还介绍了getservbyname和getservbyport函数，用于在服务器名和端口号之间进行转换。 ... [详细]

蜡笔小新 2024-12-27 11:26:39
import
寻找满足特定条件的整数N的最大和(a+b)

本文探讨了如何在给定整数N的情况下，找到两个不同的整数a和b，使得它们的和最大，并且满足特定的数学条件。 ... [详细]

蜡笔小新 2024-12-26 19:26:18
import
使用 SQLiteJDBC 和 HikariCP 实现 Java 程序连接 SQLite 数据库

本文介绍了如何通过 Maven 依赖引入 SQLiteJDBC 和 HikariCP 包，从而在 Java 应用中高效地连接和操作 SQLite 数据库。文章提供了详细的代码示例，并解释了每个步骤的实现细节。 ... [详细]

蜡笔小新 2024-12-26 17:34:42
text
Android 渐变圆环加载控件实现

本文介绍了如何在 Android 中创建一个自定义的渐变圆环加载控件，该控件已在多个知名应用中使用。我们将详细探讨其工作原理和实现方法。 ... [详细]

蜡笔小新 2024-12-27 13:34:19
io
移动 UI 设计基础：打造简洁高效的用户界面

本章将深入探讨移动 UI 设计的核心原则，帮助开发者构建简洁、高效且用户友好的界面。通过学习设计规则和用户体验优化技巧，您将能够创建出既美观又实用的移动应用。 ... [详细]

蜡笔小新 2024-12-27 08:43:40
text
使用 NSTimer 实现倒计时功能

本文介绍如何使用 NSTimer 实现倒计时功能，详细讲解了初始化方法、参数配置以及具体实现步骤。通过示例代码展示如何创建和管理定时器，确保在指定时间间隔内执行特定任务。 ... [详细]

蜡笔小新 2024-12-26 19:08:19
import
解析JSON格式文本并处理数据

本文介绍如何使用阿里云的fastjson库解析包含时间戳、IP地址和参数等信息的JSON格式文本，并进行数据处理和保存。 ... [详细]

蜡笔小新 2024-12-26 16:06:09

mobiledu2502892513

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章