如何获取ntoskrnl.exe基址
发表于:2025-02-22 作者:千家信息网编辑
千家信息网最后更新 2025年02月22日,本篇内容介绍了"如何获取ntoskrnl.exe基址"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!目
千家信息网最后更新 2025年02月22日如何获取ntoskrnl.exe基址
本篇内容介绍了"如何获取ntoskrnl.exe基址"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
目录
驱动对象讲解
1.1 结构
1.2 输出代码输出基本的驱动对象信息
1.3 结果
驱动对象讲解
一丶驱动对象
1.1 结构
在内核中. 每一个驱动模块都是一个驱动对象. 都有一个 DRIVER_OBJECT结构体代表. 可以想象成驱动对象是一个进程容器. 容纳百川.
下面针对驱动对象做一下简单的成员输出.以熟悉驱动对象.
驱动对象结构如下:
typedef struct _DRIVER_OBJECT {CSHORT Type;CSHORT Size;//// The following links all of the devices created by a single driver// together on a list, and the Flags word provides an extensible flag// location for driver objects.//PDEVICE_OBJECT DeviceObject;ULONG Flags;//// The following section describes where the driver is loaded. The count// field is used to count the number of times the driver has had its// registered reinitialization routine invoked.//PVOID DriverStart; //驱动对象的起始地址ULONG DriverSize; //驱动对象的大小PVOID DriverSection; //驱动对象结构.可以解析为_LDR_DATA_TABLE_ENTRY 是一个链表存储着下一个驱动对象 PDRIVER_EXTENSION DriverExtension; //驱动的扩展信息.可以自定义存放我们的数据 //// The driver name field is used by the error log thread// determine the name of the driver that an I/O request is/was bound.//UNICODE_STRING DriverName; //驱动对象的名字//// The following section is for registry support. This is a pointer// to the path to the hardware information in the registry//PUNICODE_STRING HardwareDatabase;//// The following section contains the optional pointer to an array of// alternate entry points to a driver for "fast I/O" support. Fast I/O// is performed by invoking the driver routine directly with separate// parameters, rather than using the standard IRP call mechanism. Note// that these functions may only be used for synchronous I/O, and when// the file is cached.//PFAST_IO_DISPATCH FastIoDispatch;PDRIVER_INITIALIZE DriverInit;PDRIVER_STARTIO DriverStartIo;PDRIVER_UNLOAD DriverUnload; //驱动对象的卸载地址PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];} DRIVER_OBJECT;typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;1.2 输出代码输出基本的驱动对象信息
#includeVOID MyDriverUnLoad( _In_ struct _DRIVER_OBJECT* DriverObject){ DbgPrint("驱动卸载了\r\n");}extern "C" NTSTATUS DriverEntry( _In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath){ ULONG64 uImage = 0; DriverObject->DriverUnload = MyDriverUnLoad; DbgPrint("驱动加载了开始打印输出\r\n"); DbgPrint("驱动名字 = %wZ \r\n", DriverObject->DriverName); DbgPrint("驱动起始地址 %x 大小 %x 结束地址 %x\r\n", DriverObject->DriverStart, DriverObject->DriverSize, uImage = ((ULONG64)DriverObject->DriverStart + DriverObject->DriverSize)); DbgPrint("驱动对象的卸载地址 = %p\r\n", DriverObject->DriverUnload); //输出驱动对象的所有回调地址. DbgPrint("驱动对象的IoControl回调地址 = %p\r\n", DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]); DbgPrint("驱动对象的读回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_READ]); DbgPrint("驱动对象的写回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_WRITE]); DbgPrint("驱动对象的创建回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_CREATE]); DbgPrint("驱动对象的关闭回调地址 = %p\r\n",DriverObject->MajorFunction[IRP_MJ_CLOSE]); DbgPrint("-------遍历回调输出------------\r\n"); //宏从DrverObject对象中查找for (auto i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) { DbgPrint("回调的IRP_MJ 调用号 = %d 回调函数地址 = %p \r\n", i, DriverObject->MajorFunction[i]); } DbgPrint("执行所有功能完毕"); return STATUS_SUCCESS;}
1.3 结果
"如何获取ntoskrnl.exe基址"的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注网站,小编将为大家输出更多高质量的实用文章!
驱动
对象
地址
输出
结构
信息
基址
代码
内容
名字
大小
更多
知识
结果
起始
实用
学有所成
接下来
代表
内核
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
周口市公安局网络安全中标
黑毒资源网-黑毒网络技术团队
央企网络安全运维外包政策
网络安全防御技术不包括哪些
在cnki数据库检索到期论文
博兴瓷砖软件开发
山东安卓软件开发哪里好
数据库实验课程设计报告
铁杆三国服务器排名活动
全国各大企业网络安全检查
戴尔t20服务器报价
网络安全股奇虎360
网络安全问题手抄报二年级
淘宝网店数据库
网络技术专业大学规划书
cache数据库审计
网络安全国家标准案例
郎溪进口软件开发服务攻略
网络安全环境治理软件
全国网络安全研究院院长
软件开发工程师是个职位吗
打开服务器端的程序
中洁生家庭教育与网络安全
配网网络安全
steam身份验证服务器的响应
公司新增软件开发团队
钢材行业软件开发
严禁一机两用网络安全管理制度
即将上市的网络技术
java数据库编程相关
