基址获取与驱动开发：内核中提取ntoskrnl模块的基地址方法解析

作者：mobiledu2502892513 | 来源：互联网 | 2024-11-04 15:56

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。模块是程序加载时被动态装载的，模块在

篇首语：本文由编程笔记#小编为大家整理，主要介绍了驱动开发：内核取ntoskrnl模块基地址相关的知识，希望对你有一定的参考价值。

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动ntoskrnl.exe的基地址以及长度，此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。

关于该程序的解释，官方的解析是这样的ntoskrnl.exe是Windows操作系统的一个重要内核程序，里面存储了大量的二进制内核代码，用于调度系统时使用，也是操作系统启动后第一个被加载的程序，通常该进程在任务管理器中显示为System。

使用ARK工具也可看出其代表的是第一个驱动模块。

那么如何使用代码得到如上图中所展示的基地址以及大小呢，实现此功能我们需要调用ZwQuerySystemInformation这个API函数，这与上一篇文章《驱动开发：判断自身是否加载成功》所使用的NtQuerySystemInformation只是开头部分不同，但其本质上是不同的，如下是一些参考资料；

从内核模式调用Nt和Zw系列API，其最终都会连接到nooskrnl.lib导出库:
- Nt系列API将直接调用对应的函数代码，而Zw系列API则通过调用KiSystemService最终跳转到对应的函数代码。
- 重要的是两种不同的调用对内核中previous mode的改变，如果是从用户模式调用Native API则previous mode是用户态，如果从内核模式调用Native API则previous mode是内核态。
- 如果previous为用户态时Native API将对传递的参数进行严格的检查，而为内核态时则不会检查。

调用Nt API时不会改变previous mode的状态，调用Zw API时会将previous mode改为内核态，因此在进行Kernel Mode Driver开发时可以使用Zw系列API可以避免额外的参数列表检查，提高效率。Zw*会设置KernelMode已避免检查，Nt*不会自动设置，如果是KernelMode当然没问题，如果就UserMode就挂了。

回到代码上来，下方代码就是获取ntoskrnl.exe基地址以及长度的具体实现，核心代码就是调用ZwQuerySystemInformation得到SystemModuleInformation，里面的对比部分是在比较当前获取的地址是否超出了ntoskrnl的最大和最小范围。

#include static PVOID g_KernelBase = 0; static ULONG g_KernelSize = 0; #pragma pack(4) typedef struct _PEB32 UCHAR InheritedAddressSpace; UCHAR ReadImageFileExecOptions; UCHAR BeingDebugged; UCHAR BitField; ULONG Mutant; ULONG ImageBaseAddress; ULONG Ldr; ULONG ProcessParameters; ULONG SubSystemData; ULONG ProcessHeap; ULONG FastPebLock; ULONG AtlThunkSListPtr; ULONG IFEOKey; ULONG CrossProcessFlags; ULONG UserSharedInfoPtr; ULONG SystemReserved; ULONG AtlThunkSListPtr32; ULONG ApiSetMap; PEB32, *PPEB32; typedef struct _PEB_LDR_DATA32 ULONG Length; UCHAR Initialized; ULONG SsHandle; LIST_ENTRY32 InLoadOrderModuleList; LIST_ENTRY32 InMemoryOrderModuleList; LIST_ENTRY32 InInitializationOrderModuleList; PEB_LDR_DATA32, *PPEB_LDR_DATA32; typedef struct _LDR_DATA_TABLE_ENTRY32 LIST_ENTRY32 InLoadOrderLinks; LIST_ENTRY32 InMemoryOrderLinks; LIST_ENTRY32 InInitializationOrderLinks; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING32 FullDllName; UNICODE_STRING32 BaseDllName; ULONG Flags; USHORT LoadCount; USHORT TlsIndex; LIST_ENTRY32 HashLinks; ULONG TimeDateStamp; LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32; #pragma pack() typedef struct _RTL_PROCESS_MODULE_INFORMATION HANDLE Section; PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; UCHAR FullPathName[256]; RTL_PROCESS_MODULE_INFORMATION, *PRTL_PROCESS_MODULE_INFORMATION; typedef struct _RTL_PROCESS_MODULES ULONG NumberOfModules; RTL_PROCESS_MODULE_INFORMATION Modules[1]; RTL_PROCESS_MODULES, *PRTL_PROCESS_MODULES; typedef enum _SYSTEM_INFORMATION_CLASS SystemModuleInformation = 0xb, SYSTEM_INFORMATION_CLASS; // 取出KernelBase基地址 // By: lyshark.com PVOID UtilKernelBase(OUT PULONG pSize) NTSTATUS status = STATUS_SUCCESS; ULONG bytes = 0; PRTL_PROCESS_MODULES pMods = 0; PVOID checkPtr = 0; UNICODE_STRING routineName; if (g_KernelBase != 0) if (pSize) *pSize = g_KernelSize; return g_KernelBase; RtlInitUnicodeString(&routineName, L"NtOpenFile"); checkPtr = MmGetSystemRoutineAddress(&routineName); if (checkPtr == 0) return 0; __try status = ZwQuerySystemInformation(SystemModuleInformation, 0, bytes, &bytes); if (bytes == 0) DbgPrint("Invalid SystemModuleInformation size\\n"); return 0; pMods = (PRTL_PROCESS_MODULES)ExAllocatePoolWithTag(NonPagedPoolNx, bytes, "lyshark"); RtlZeroMemory(pMods, bytes); status = ZwQuerySystemInformation(SystemModuleInformation, pMods, bytes, &bytes); if (NT_SUCCESS(status)) PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules; for (ULONG i = 0; i NumberOfModules; i++) if (checkPtr >= pMod[i].ImageBase && checkPtr <(PVOID)((PUCHAR)pMod[i].ImageBase + pMod[i].ImageSize)) g_KernelBase = pMod[i].ImageBase; g_KernelSize = pMod[i].ImageSize; if (pSize) *pSize = g_KernelSize; break; __except (EXCEPTION_EXECUTE_HANDLER) return 0; if (pMods) ExFreePoolWithTag(pMods, "lyshark"); return g_KernelBase; VOID UnDriver(PDRIVER_OBJECT driver) DbgPrint(("Uninstall Driver Is OK \\n")); NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) DbgPrint(("hello lyshark \\n")); PULONG ulOng= 0; UtilKernelBase(ulong); DbgPrint("ntoskrnl.exe 模块基址: 0x%p \\n", g_KernelBase); DbgPrint("模块大小: 0x%p \\n", g_KernelSize); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS;

我们编译并运行上方代码，效果如下：

参考文献：

https://blog.csdn.net/u012410612/article/details/17096597

推荐阅读

io
Ionic 5 APK打包与QRScanner插件优化：常见问题及解决方案

本文总结了在使用Ionic 5进行Android平台APK打包时遇到的问题，特别是针对QRScanner插件的改造。通过详细分析和提供具体的解决方法，帮助开发者顺利打包并优化应用性能。 ... [详细]

蜡笔小新 2024-12-27 12:10:17
java
Java面试题解析

本文详细介绍了Java编程语言中的核心概念和常见面试问题，包括集合类、数据结构、线程处理、Java虚拟机（JVM）、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题，帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]

蜡笔小新 2024-12-27 13:55:14
instance
XNA 3.0 游戏编程：从 XML 文件加载数据

本文介绍如何在 XNA 3.0 游戏项目中从 XML 文件加载数据。我们将探讨如何将 XML 数据序列化为二进制文件，并通过内容管道加载到游戏中。此外，还会涉及自定义类型读取器和写入器的实现。 ... [详细]

蜡笔小新 2024-12-27 11:39:44
java
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
java
Handling Null Object Encoding in OAuth 1.0a API Implementation

Explore a common issue encountered when implementing an OAuth 1.0a API, specifically the inability to encode null objects and how to resolve it. ... [详细]

蜡笔小新 2024-12-28 08:54:34
io
技术分享：从动态网站提取站点密钥的解决方案

本文探讨了如何从动态网站中提取站点密钥，特别是针对验证码（reCAPTCHA）的处理方法。通过结合Selenium和requests库，提供了详细的代码示例和优化建议。 ... [详细]

蜡笔小新 2024-12-28 04:11:47
java
Java 中的 BigDecimal pow()方法，示例

Java 中的 BigDecimal pow()方法，示例 ... [详细]

蜡笔小新 2024-12-27 20:54:03
php
Linux 系统启动故障排除指南：MBR 和 GRUB 问题

本文详细介绍了 Linux 系统启动过程中常见的 MBR 扇区和 GRUB 引导程序故障及其解决方案，涵盖从备份、模拟故障到恢复的具体步骤。 ... [详细]

蜡笔小新 2024-12-27 20:40:29
java
深入理解Cookie与Session会话管理

本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息，以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制，解释其原理及应用场景。 ... [详细]

蜡笔小新 2024-12-27 18:20:43
main
数据库内核开发入门 | 搭建研发环境的初步指南

本课程将带你从零开始，逐步掌握数据库内核开发的基础知识和实践技能，重点介绍如何搭建OceanBase的开发环境。 ... [详细]

蜡笔小新 2024-12-27 16:38:48
java
深入解析ExpandableComposite.addExpansionListener()方法及其应用

本文详细介绍了Java中org.eclipse.ui.forms.widgets.ExpandableComposite类的addExpansionListener()方法，并提供了多个实际代码示例，帮助开发者更好地理解和使用该方法。这些示例来源于多个知名开源项目，具有很高的参考价值。 ... [详细]

蜡笔小新 2024-12-27 16:11:49
java
深入解析Spring Cloud Ribbon负载均衡机制

本文详细介绍了Spring Cloud中的Ribbon组件如何实现服务调用的负载均衡。通过分析其工作原理、源码结构及配置方式，帮助读者理解Ribbon在分布式系统中的重要作用。 ... [详细]

蜡笔小新 2024-12-27 16:01:25
instance
Unity 客户端框架设计：UI管理系统的构建

本文详细介绍了如何构建一个高效的UI管理系统，集中处理UI页面的打开、关闭、层级管理和页面跳转等问题。通过UIManager统一管理外部切换逻辑，实现功能逻辑分散化和代码复用，支持多人协作开发。 ... [详细]

蜡笔小新 2024-12-27 10:28:40
io
DataGridView 保存时，为什么当前单元格的值无法保存？

在使用 DataGridView 时，如果在当前单元格中输入内容但光标未移开，点击保存按钮后，输入的内容可能无法保存。只有当光标离开单元格后，才能成功保存数据。本文将探讨如何通过调用 DataGridView 的内置方法解决此问题。 ... [详细]

蜡笔小新 2024-12-27 09:27:14
main
深入理解Python的os和sys模块

本文详细解析了Python中的os和sys模块，介绍了它们的功能、常用方法及其在实际编程中的应用。 ... [详细]

蜡笔小新 2024-12-26 22:04:19

mobiledu2502892513

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章