如何获取ntoskrnl.exe基址
发表于:2024-11-19 作者:千家信息网编辑
千家信息网最后更新 2024年11月19日,本篇内容介绍了"如何获取ntoskrnl.exe基址"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!目
千家信息网最后更新 2024年11月19日如何获取ntoskrnl.exe基址
本篇内容介绍了"如何获取ntoskrnl.exe基址"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
目录
驱动对象讲解
1.1 结构
1.2 输出代码输出基本的驱动对象信息
1.3 结果
驱动对象讲解
一丶驱动对象
1.1 结构
在内核中. 每一个驱动模块都是一个驱动对象. 都有一个 DRIVER_OBJECT结构体代表. 可以想象成驱动对象是一个进程容器. 容纳百川.
下面针对驱动对象做一下简单的成员输出.以熟悉驱动对象.
驱动对象结构如下:
typedef struct _DRIVER_OBJECT {CSHORT Type;CSHORT Size;//// The following links all of the devices created by a single driver// together on a list, and the Flags word provides an extensible flag// location for driver objects.//PDEVICE_OBJECT DeviceObject;ULONG Flags;//// The following section describes where the driver is loaded. The count// field is used to count the number of times the driver has had its// registered reinitialization routine invoked.//PVOID DriverStart; //驱动对象的起始地址ULONG DriverSize; //驱动对象的大小PVOID DriverSection; //驱动对象结构.可以解析为_LDR_DATA_TABLE_ENTRY 是一个链表存储着下一个驱动对象 PDRIVER_EXTENSION DriverExtension; //驱动的扩展信息.可以自定义存放我们的数据 //// The driver name field is used by the error log thread// determine the name of the driver that an I/O request is/was bound.//UNICODE_STRING DriverName; //驱动对象的名字//// The following section is for registry support. This is a pointer// to the path to the hardware information in the registry//PUNICODE_STRING HardwareDatabase;//// The following section contains the optional pointer to an array of// alternate entry points to a driver for "fast I/O" support. Fast I/O// is performed by invoking the driver routine directly with separate// parameters, rather than using the standard IRP call mechanism. Note// that these functions may only be used for synchronous I/O, and when// the file is cached.//PFAST_IO_DISPATCH FastIoDispatch;PDRIVER_INITIALIZE DriverInit;PDRIVER_STARTIO DriverStartIo;PDRIVER_UNLOAD DriverUnload; //驱动对象的卸载地址PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];} DRIVER_OBJECT;typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;1.2 输出代码输出基本的驱动对象信息
#includeVOID MyDriverUnLoad( _In_ struct _DRIVER_OBJECT* DriverObject){ DbgPrint("驱动卸载了\r\n");}extern "C" NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath){ ULONG64 uImage = 0; DriverObject->DriverUnload = MyDriverUnLoad; DbgPrint("驱动加载了开始打印输出\r\n"); DbgPrint("驱动名字 = %wZ \r\n", DriverObject->DriverName); DbgPrint("驱动起始地址 %x 大小 %x 结束地址 %x\r\n", DriverObject->DriverStart, DriverObject->DriverSize, uImage = ((ULONG64)DriverObject->DriverStart + DriverObject->DriverSize)); DbgPrint("驱动对象的卸载地址 = %p\r\n", DriverObject->DriverUnload); //输出驱动对象的所有回调地址. DbgPrint("驱动对象的IoControl回调地址 = %p\r\n", DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]); DbgPrint("驱动对象的读回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_READ]); DbgPrint("驱动对象的写回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_WRITE]); DbgPrint("驱动对象的创建回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_CREATE]); DbgPrint("驱动对象的关闭回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_CLOSE]); DbgPrint("-------遍历回调输出------------\r\n"); //宏从DrverObject对象中查找for (auto i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) { DbgPrint("回调的IRP_MJ 调用号 = %d 回调函数地址 = %p \r\n", i, DriverObject->MajorFunction[i]); } DbgPrint("执行所有功能完毕"); return STATUS_SUCCESS;}
1.3 结果
"如何获取ntoskrnl.exe基址"的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注网站,小编将为大家输出更多高质量的实用文章!
驱动
对象
地址
输出
结构
信息
基址
代码
内容
名字
大小
更多
知识
结果
起始
实用
学有所成
接下来
代表
内核
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
如何关闭百度网络安全检测
虹口区网络技术销售公司
云服务器root
滨州微信小程序软件开发服务
打开2016数据库的软件
国内物流软件开发
云南食用菌数据库
成都计算机三级数据库考试时间
无锡顺天网络技术有限公司
计算机网络技术路由器分配
软件开发工程专业就业方向
网络安全法21条
hcna网络技术
保定禹拓网络技术
数据库方面书籍推荐
数据库mysql建立
淮北门店管理软件开发多少钱
网络技术对你有什么发展
炸服务器的人已经找到了吗
DPP下载软件开发
ibm服务器生产日期怎么看
手机软件开发会有哪些漏洞
软件开发系统测试的重要性
海东网络技术参数
我的世界如何制作服务器
阿里云服务器远程桌面怎么登陆
连接数据库显示连接超时
软件开发测试人员考试
怎样将文件存入数据库
游戏服务器负载
