首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>获取系统模块的方法
回复
« 返回列表
lkni
lkni
驱动牛犊
驱动牛犊
  • 注册日期2007-09-18
  • 最后登录2010-08-15
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望22点
  • 贡献值0点
  • 好评度21点
  • 原创分0分
  • 专家分0分
写私信
阅读:1926回复:3

获取系统模块的方法

楼主#
更多 发布于:2007-12-05 17:08
想了解一下获取内核模块都有什么方法?哪位帮忙讲解一下,  THX
喜欢0
驱网无线,快乐无限
回复
ljh1021
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-12-05 18:26
使用ZwQuerySystemInformation
http://bbs.driverdevelop.com/htm_data/98/0706/102731.html
另外也可参照《Undocumented Windows 2000 Secrets》中第19页到22页使用psapi.dll枚举系统模块的代码。
消灭人类暴政,世界属于三体!
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-12-05 20:10
有两张表,PsLoadModuleList,是所有的内核模块的加载列表

另外还有一张,叫做MmLoadedUserImageList
是用户模块加载列表,通常只有ntdll.dll

ZwQuerySystemInformation得到的是这张表 + 前面那张表

另外,还有枚举Driver/Device object(枚举type list也算吧)
还有暴力搜索、搜索section object  等办法!
驱动开发者 呵呵
回复(0) 喜欢(0)
lkni
lkni
驱动牛犊
驱动牛犊
  • 注册日期2007-09-18
  • 最后登录2010-08-15
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望22点
  • 贡献值0点
  • 好评度21点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-12-05 20:46
谢谢,慢慢研究
驱网无线,快乐无限
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部