Windows驱动开发：取进程模块的函数地址

ytn2001

在笔者上一篇文章《驱动开发：内核取应用层模块基地址》中简单为大家介绍了如何通过遍历PLIST_ENTRY32链表的方式获取到32位应用程序中特定模块的基地址，由于是入门系列所以并没有封装实现太过于通用的获取函数，本章将继续延申这个话题，并依次实现通用版GetUserModuleBaseAddress()取远程进程中指定模块的基址和GetModuleExportAddress()取远程进程中特定模块中的函数地址，此类功能也是各类安全工具中常用的代码片段。

首先封装一个lyshark.h头文件，此类头文件中的定义都是微软官方定义好的规范，如果您想获取该结构的详细说明文档请参阅微软官方，此处不做过多的介绍。

1. #include <ntifs.h>
   
2. #include <ntimage.h>
   
3. #include <ntstrsafe.h>
   
4. 
   
5. // 导出未导出函数
   
6. NTKERNELAPI PPEB NTAPI PsGetProcessPeb(IN PEPROCESS Process);
   
7. NTKERNELAPI PVOID NTAPI PsGetProcessWow64Process(IN PEPROCESS Process);
   
8. 
   
9. typedef struct _PEB32
   
10. {
    
11.   UCHAR InheritedAddressSpace;
    
12.   UCHAR ReadImageFileExecOptions;
    
13.   UCHAR BeingDebugged;
    
14.   UCHAR BitField;
    
15.   ULONG Mutant;
    
16.   ULONG ImageBaseAddress;
    
17.   ULONG Ldr;
    
18.   ULONG ProcessParameters;
    
19.   ULONG SubSystemData;
    
20.   ULONG ProcessHeap;
    
21.   ULONG FastPebLock;
    
22.   ULONG AtlThunkSListPtr;
    
23.   ULONG IFEOKey;
    
24.   ULONG CrossProcessFlags;
    
25.   ULONG UserSharedInfoPtr;
    
26.   ULONG SystemReserved;
    
27.   ULONG AtlThunkSListPtr32;
    
28.   ULONG ApiSetMap;
    
29. } PEB32, *PPEB32;
    
30. 
    
31. typedef struct _PEB_LDR_DATA
    
32. {
    
33.   ULONG Length;
    
34.   UCHAR Initialized;
    
35.   PVOID SsHandle;
    
36.   LIST_ENTRY InLoadOrderModuleList;
    
37.   LIST_ENTRY InMemoryOrderModuleList;
    
38.   LIST_ENTRY InInitializationOrderModuleList;
    
39. } PEB_LDR_DATA, *PPEB_LDR_DATA;
    
40. 
    
41. typedef struct _PEB
    
42. {
    
43.   UCHAR InheritedAddressSpace;
    
44.   UCHAR ReadImageFileExecOptions;
    
45.   UCHAR BeingDebugged;
    
46.   UCHAR BitField;
    
47.   PVOID Mutant;
    
48.   PVOID ImageBaseAddress;
    
49.   PPEB_LDR_DATA Ldr;
    
50.   PVOID ProcessParameters;
    
51.   PVOID SubSystemData;
    
52.   PVOID ProcessHeap;
    
53.   PVOID FastPebLock;
    
54.   PVOID AtlThunkSListPtr;
    
55.   PVOID IFEOKey;
    
56.   PVOID CrossProcessFlags;
    
57.   PVOID KernelCallbackTable;
    
58.   ULONG SystemReserved;
    
59.   ULONG AtlThunkSListPtr32;
    
60.   PVOID ApiSetMap;
    
61. } PEB, *PPEB;
    
62. 
    
63. 
    
64. typedef struct _PEB_LDR_DATA32
    
65. {
    
66.   ULONG Length;
    
67.   UCHAR Initialized;
    
68.   ULONG SsHandle;
    
69.   LIST_ENTRY32 InLoadOrderModuleList;
    
70.   LIST_ENTRY32 InMemoryOrderModuleList;
    
71.   LIST_ENTRY32 InInitializationOrderModuleList;
    
72. } PEB_LDR_DATA32, *PPEB_LDR_DATA32;
    
73. 
    
74. typedef struct _LDR_DATA_TABLE_ENTRY32
    
75. {
    
76.   LIST_ENTRY32 InLoadOrderLinks;
    
77.   LIST_ENTRY32 InMemoryOrderLinks;
    
78.   LIST_ENTRY32 InInitializationOrderLinks;
    
79.   ULONG DllBase;
    
80.   ULONG EntryPoint;
    
81.   ULONG SizeOfImage;
    
82.   UNICODE_STRING32 FullDllName;
    
83.   UNICODE_STRING32 BaseDllName;
    
84.   ULONG Flags;
    
85.   USHORT LoadCount;
    
86.   USHORT TlsIndex;
    
87.   LIST_ENTRY32 HashLinks;
    
88.   ULONG TimeDateStamp;
    
89. } LDR_DATA_TABLE_ENTRY32, *PLDR_DATA_TABLE_ENTRY32;
    
90. 
    
91. 
    
92. typedef struct _LDR_DATA_TABLE_ENTRY
    
93. {
    
94.   LIST_ENTRY InLoadOrderLinks;
    
95.   LIST_ENTRY InMemoryOrderLinks;
    
96.   LIST_ENTRY InInitializationOrderLinks;
    
97.   PVOID DllBase;
    
98.   PVOID EntryPoint;
    
99.   ULONG SizeOfImage;
    
100.   UNICODE_STRING FullDllName;
     
101.   UNICODE_STRING BaseDllName;
     
102.   ULONG Flags;
     
103.   USHORT LoadCount;
     
104.   USHORT TlsIndex;
     
105.   LIST_ENTRY HashLinks;
     
106.   ULONG TimeDateStamp;
     
107. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

复制代码

GetUserModuleBaseAddress(): 实现取进程中模块基址，该功能在《驱动开发：内核取应用层模块基地址》中详细介绍过原理，这段代码核心原理如下所示，此处最需要注意的是如果是32位进程则我们需要得到PPEB32 Peb32结构体，该结构体通常可以直接使用PsGetProcessWow64Process()这个内核函数获取到，而如果是64位进程则需要将寻找PEB的函数替换为PsGetProcessPeb()，其他的枚举细节与上一篇文章中的方法一致。

游客，如果您要查看本帖隐藏内容请回复