基址获取与驱动开发：内核中提取ntoskrnl模块的基地址方法解析

作者：mobiledu2502892513 | 来源：互联网 | 2024-11-04 15:56

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。模块是程序加载时被动态装载的，模块在

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动ntoskrnl.exe的基地址以及长度，此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。

关于该程序的解释，官方的解析是这样的ntoskrnl.exe是Windows操作系统的一个重要内核程序，里面存储了大量的二进制内核代码，用于调度系统时使用，也是操作系统启动后第一个被加载的程序，通常该进程在任务管理器中显示为System。

使用ARK工具也可看出其代表的是第一个驱动模块。

那么如何使用代码得到如上图中所展示的基地址以及大小呢，实现此功能我们需要调用ZwQuerySystemInformation这个API函数，这与上一篇文章《驱动开发：判断自身是否加载成功》所使用的NtQuerySystemInformation只是开头部分不同，但其本质上是不同的，如下是一些参考资料；

从内核模式调用Nt和Zw系列API，其最终都会连接到nooskrnl.lib导出库:
- Nt系列API将直接调用对应的函数代码，而Zw系列API则通过调用KiSystemService最终跳转到对应的函数代码。
- 重要的是两种不同的调用对内核中previous mode的改变，如果是从用户模式调用Native API则previous mode是用户态，如果从内核模式调用Native API则previous mode是内核态。
- 如果previous为用户态时Native API将对传递的参数进行严格的检查，而为内核态时则不会检查。

调用Nt API时不会改变previous mode的状态，调用Zw API时会将previous mode改为内核态，因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查，提高效率。Zw*会设置KernelMode已避免检查，Nt*不会自动设置，如果是KernelMode当然没问题，如果就UserMode就挂了。

回到代码上来，下方代码就是获取ntoskrnl.exe基地址以及长度的具体实现，核心代码就是调用ZwQuerySystemInformation得到SystemModuleInformation，里面的对比部分是在比较当前获取的地址是否超出了ntoskrnl的最大和最小范围。

#include static PVOID g_KernelBase = 0; static ULONG g_KernelSize = 0; #pragma pack(4) typedef struct _PEB32 UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG Mutant; ULONG ImageBaseAddress; ULONG Ldr; ULONG ProcessParameters; ULONG SubSystemData; ULONG ProcessHeap; ULONG FastPebLock; ULONG AtlThunkSListPtr; ULONG IFEOKey; ULONG CrossProcessFlags; ULONG UserSharedInfoPtr; ULONG SystemReserved; ULONG AtlThunkSListPtr32; ULONG ApiSetMap; PEB32, *PPEB32; typedef struct _PEB_LDR_DATA32 ULONG Length; UCHAR Initialized; ULONG SsHandle; LIST_ENTRY32 InLoadOrderModuleList; LIST_ENTRY32 InMemoryOrderModuleList; LIST_ENTRY32 InInitializationOrderModuleList; PEB_LDR_DATA32, *PPEB_LDR_DATA32; typedef struct _LDR_DATA_TABLE_ENTRY32 LIST_ENTRY32 InLoadOrderLinks; LIST_ENTRY32 InMemoryOrderLinks; LIST_ENTRY32 InInitializationOrderLinks; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING32 FullDllName; UNICODE_STRING32 BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; LIST_ENTRY32 HashLinks; ULONG TimeDateStamp; LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32; #pragma pack() typedef struct _RTL_PROCESS_MODULE_INFORMATION HANDLE Section; PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; UCHAR FullPathName[256]; RTL_PROCESS_MODULE_INFORMATION, *PRTL_PROCESS_MODULE_INFORMATION; typedef struct _RTL_PROCESS_MODULES ULONG NumberOfModules; RTL_PROCESS_MODULE_INFORMATION Modules[1]; RTL_PROCESS_MODULES, *PRTL_PROCESS_MODULES; typedef enum _SYSTEM_INFORMATION_CLASS SystemModuleInformation = 0xb, SYSTEM_INFORMATION_CLASS; // 取出KernelBase基地址 // By: lyshark.com PVOID UtilKernelBase(OUT PULONG pSize) NTSTATUS status = STATUS_SUCCESS; ULONG bytes = 0; PRTL_PROCESS_MODULES pMods = 0; PVOID checkPtr = 0; UNICODE_STRING routineName; if (g_KernelBase != 0) if (pSize) *pSize = g_KernelSize; return g_KernelBase; RtlInitUnicodeString(&routineName, L"NtOpenFile"); checkPtr = MmGetSystemRoutineAddress(&routineName); if (checkPtr == 0) return 0; __try status = ZwQuerySystemInformation(SystemModuleInformation, 0, bytes, &bytes); if (bytes == 0) DbgPrint("Invalid SystemModuleInformation size\\n"); return 0; pMods = (PRTL_PROCESS_MODULES)ExAllocatePoolWithTag(NonPagedPoolNx, bytes, "lyshark"); RtlZeroMemory(pMods, bytes); status = ZwQuerySystemInformation(SystemModuleInformation, pMods, bytes, &bytes); if (NT_SUCCESS(status)) PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules; for (ULONG i = 0; i NumberOfModules; i++) if (checkPtr >= pMod[i].ImageBase && checkPtr <(PVOID)((PUCHAR)pMod[i].ImageBase + pMod[i].ImageSize)) g_KernelBase = pMod[i].ImageBase; g_KernelSize = pMod[i].ImageSize; if (pSize) *pSize = g_KernelSize; break; __except (EXCEPTION_EXECUTE_HANDLER) return 0; if (pMods) ExFreePoolWithTag(pMods, "lyshark"); return g_KernelBase; VOID UnDriver(PDRIVER_OBJECT driver) DbgPrint(("Uninstall Driver Is OK \\n")); NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) DbgPrint(("hello lyshark \\n")); PULONG ulOng= 0; UtilKernelBase(ulong); DbgPrint("ntoskrnl.exe 模块基址: 0x%p \\n", g_KernelBase); DbgPrint("模块大小: 0x%p \\n", g_KernelSize); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS;

我们编译并运行上方代码，效果如下：

参考文献：

https://blog.csdn.net/u012410612/article/details/17096597

推荐阅读

go
HTML Attribute Naming Conventions for Fast Components

This document outlines the recommended naming conventions for HTML attributes in Fast Components, focusing on readability and consistency with existing standards. ... [详细]

蜡笔小新 2024-12-26 19:13:45
int
UNP 第9章：主机名与地址转换

本章探讨了用于在主机名和数值地址之间进行转换的函数，如gethostbyname和gethostbyaddr。此外，还介绍了getservbyname和getservbyport函数，用于在服务器名和端口号之间进行转换。 ... [详细]

蜡笔小新 2024-12-27 11:26:39
int
计算机图形学实训：OpenGL入门与直线光栅化算法

本教程涵盖OpenGL基础操作及直线光栅化技术，包括点的绘制、简单图形绘制、直线绘制以及DDA和中点画线算法。通过逐步实践，帮助读者掌握OpenGL的基本使用方法。 ... [详细]

蜡笔小新 2024-12-26 12:24:25
int
Java 序列化接口详解

本文深入探讨了 Java 中的 Serializable 接口，解释了其实现机制、用途及注意事项，帮助开发者更好地理解和使用序列化功能。 ... [详细]

蜡笔小新 2024-12-27 15:06:12
int
VxWorks中的双向链表与环形缓冲应用

本文详细探讨了VxWorks操作系统中双向链表和环形缓冲区的实现原理及使用方法，通过具体示例代码加深理解。 ... [详细]

蜡笔小新 2024-12-26 13:26:16
int
Codeforces Round #566 (Div. 2) A~F个人题解

Dashboard-CodeforcesRound#566(Div.2)-CodeforcesA.FillingShapes题意：给你一个的表格，你 ... [详细]

蜡笔小新 2024-12-25 18:41:21
int
深入理解KMP算法中的next数组：北大OJ 2406题解

本文详细探讨了KMP算法中next数组的构建及其应用，重点分析了未改良和改良后的next数组在字符串匹配中的作用。通过具体实例和代码实现，帮助读者更好地理解KMP算法的核心原理。 ... [详细]

蜡笔小新 2024-12-28 11:30:01
go
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
go
GWT PopupPanel onKeyDownPreview 方法详解与实例

本文详细介绍了 GWT 中 PopupPanel 类的 onKeyDownPreview 方法，提供了多个代码示例及应用场景，帮助开发者更好地理解和使用该方法。 ... [详细]

蜡笔小新 2024-12-28 10:07:27
web
Transforming the Future of Virtual Worlds

Explore how Matterverse is redefining the metaverse experience, creating immersive and meaningful virtual environments that foster genuine connections and economic opportunities. ... [详细]

蜡笔小新 2024-12-28 09:44:49
go
Handling Null Object Encoding in OAuth 1.0a API Implementation

Explore a common issue encountered when implementing an OAuth 1.0a API, specifically the inability to encode null objects and how to resolve it. ... [详细]

蜡笔小新 2024-12-28 08:54:34
go
USACO 2014 Jan - Moolympics区间记录优化算法

题目描述：给定n个半开区间[a, b)，要求使用两个互不重叠的记录器，求最多可以记录多少个区间。解决方案采用贪心算法，通过排序和遍历实现最优解。 ... [详细]

蜡笔小新 2024-12-27 18:14:31
int
Splay Tree 区间操作优化

本文详细介绍了使用Splay Tree进行区间操作的实现方法，包括插入、删除、修改、翻转和求和等操作。通过这些操作，可以高效地处理动态序列问题，并且代码实现具有一定的挑战性，有助于编程能力的提升。 ... [详细]

蜡笔小新 2024-12-26 18:47:12
go
JavaScript 基础语法指南

本文详细介绍了 JavaScript 的基础语法，包括变量、数据类型、运算符、语句和函数等内容，旨在为初学者提供全面的入门指导。 ... [详细]

蜡笔小新 2024-12-23 10:54:44
int
如何用ping测试网络连接

如何使用Ping命令来测试网络连接？当网卡安装和有关参数配置完成后，可以使用ping命令来测试一下网络是否连接成功。以winXP为例1、打开XP下DOS窗口具体操作是点击“开始”菜 ... [详细]

蜡笔小新 2024-12-22 07:41:31

mobiledu2502892513

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章