迭代 PEB DllName 仅显示 exe 名称
Iterating over PEB DllName shows only exe name
我正在尝试获取我的应用程序中已加载模块的列表(与 security/shellcode 有关,因此请避免调用 WINAPI)。我正在遍历 PEB->Ldr 模块双向链表,但每次打印 DLL 的名称时,它只是打印当前正在执行的应用程序的名称和路径。
在其他人的代码中,我看到他们只是将当前 LIST_ENTRY 指针设为 PLDR_DATA_TABLE_ENTRY,您可以直接调用 FullDllName。但是,例如,要实际获取基地址,您需要调用 Reserved2[0] 而不是 DllBase,这是可以理解的,因为 LIST_ENTRY 是结构中的 8 个字节,但是它没有解释为什么你可以直接调用 FullDllName。
Here's an example. 注意 return (HMODULE)pLdrDataTableEntry->Reserved2[0];
我在 Visual Studio 2015 的 x86 发布模式下使用 Windows 10 x64。
void ListModules(void) {
PPEB lpPeb = __readfsdword(0x30);
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpFirst, lpCurrent;
lpFirst = lpCurrent = lpLdr->InMemoryOrderModuleList.Flink;
do {
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
wprintf(L"%s ~ %d ~ 0x%08x\n", lpDataTable->FullDllName.Buffer, lpDataTable->DllBase, (DWORD)lpCurrent);
lpCurrent= lpCurrent ->Flink;
} while (lpCurrent && lpFirst != lpCurrent);
}
我收到的输出只是对当前应用程序名称的多次引用:
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53a18
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53930
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53da8
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54078
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54a68
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54910
C:\Programs\Project\file.exe ~ 2818048 ~ 0x7743fbf4
这很可能会对 MSDN 臭名昭著的未记录文件造成影响,但我该如何解决这个问题,最好是以 'standard' 不需要定义我自己的结构的方式,尽管我当然不反对。
我迭代不正确吗?
看向这一行
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
但是lpFirst你没有在循环中改变!所以一直得到相同的记录。您需要将 lpFirst 更改为 lpCurrent
还有
while (lpCurrent && lpFirst != lpCurrent);
lpCurrent 永远不会成为 NULL - 这是循环列表,所以条件必须是
while (lpFirst != lpCurrent)
也一定不是
lpFirst = lpLdr->InMemoryOrderModuleList.Flink;
但是
lpFirst = &lpLdr->InMemoryOrderModuleList;
当然必须同步访问此列表(LdrpLoaderLock 关键部分)但是,如果你想要..
!!这个不推荐使用!!仅适用于 demo/test
void ListModules() {
PPEB lpPeb = (PPEB)((_TEB*)NtCurrentTeb())->ProcessEnvironmentBlock;
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpHead = &lpLdr->InMemoryOrderModuleList, lpCurrent = lpHead;
while ((lpCurrent = lpCurrent ->Flink) != lpHead)
{
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpCurrent, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
DbgPrint("%p %wZ\n", lpDataTable->DllBase, &lpDataTable->FullDllName);
}
}
但即使在 shellcode 中,也最好先获得指向某些 api 的指针,然后再使用它。例如 LdrEnumerateLoadedModules
不推荐使用。演示仅适用于 OP
void CALLBACK EnumModules(PLDR_DATA_TABLE_ENTRY mod, PVOID /*UserData*/, PBOOLEAN bStop )
{
*bStop = FALSE;
DbgPrint("%p %wZ\n", mod->DllBase, &mod->FullDllName);
}
LdrEnumerateLoadedModules(0, EnumModules, 0);
我正在尝试获取我的应用程序中已加载模块的列表(与 security/shellcode 有关,因此请避免调用 WINAPI)。我正在遍历 PEB->Ldr 模块双向链表,但每次打印 DLL 的名称时,它只是打印当前正在执行的应用程序的名称和路径。
在其他人的代码中,我看到他们只是将当前 LIST_ENTRY 指针设为 PLDR_DATA_TABLE_ENTRY,您可以直接调用 FullDllName。但是,例如,要实际获取基地址,您需要调用 Reserved2[0] 而不是 DllBase,这是可以理解的,因为 LIST_ENTRY 是结构中的 8 个字节,但是它没有解释为什么你可以直接调用 FullDllName。
Here's an example. 注意 return (HMODULE)pLdrDataTableEntry->Reserved2[0];
我在 Visual Studio 2015 的 x86 发布模式下使用 Windows 10 x64。
void ListModules(void) {
PPEB lpPeb = __readfsdword(0x30);
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpFirst, lpCurrent;
lpFirst = lpCurrent = lpLdr->InMemoryOrderModuleList.Flink;
do {
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
wprintf(L"%s ~ %d ~ 0x%08x\n", lpDataTable->FullDllName.Buffer, lpDataTable->DllBase, (DWORD)lpCurrent);
lpCurrent= lpCurrent ->Flink;
} while (lpCurrent && lpFirst != lpCurrent);
}
我收到的输出只是对当前应用程序名称的多次引用:
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53a18
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53930
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53da8
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54078
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54a68
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54910
C:\Programs\Project\file.exe ~ 2818048 ~ 0x7743fbf4
这很可能会对 MSDN 臭名昭著的未记录文件造成影响,但我该如何解决这个问题,最好是以 'standard' 不需要定义我自己的结构的方式,尽管我当然不反对。
我迭代不正确吗?
看向这一行
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
但是lpFirst你没有在循环中改变!所以一直得到相同的记录。您需要将 lpFirst 更改为 lpCurrent
还有
while (lpCurrent && lpFirst != lpCurrent);
lpCurrent 永远不会成为 NULL - 这是循环列表,所以条件必须是
while (lpFirst != lpCurrent)
也一定不是
lpFirst = lpLdr->InMemoryOrderModuleList.Flink;
但是
lpFirst = &lpLdr->InMemoryOrderModuleList;
当然必须同步访问此列表(LdrpLoaderLock 关键部分)但是,如果你想要..
!!这个不推荐使用!!仅适用于 demo/test
void ListModules() {
PPEB lpPeb = (PPEB)((_TEB*)NtCurrentTeb())->ProcessEnvironmentBlock;
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpHead = &lpLdr->InMemoryOrderModuleList, lpCurrent = lpHead;
while ((lpCurrent = lpCurrent ->Flink) != lpHead)
{
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpCurrent, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
DbgPrint("%p %wZ\n", lpDataTable->DllBase, &lpDataTable->FullDllName);
}
}
但即使在 shellcode 中,也最好先获得指向某些 api 的指针,然后再使用它。例如 LdrEnumerateLoadedModules
不推荐使用。演示仅适用于 OP
void CALLBACK EnumModules(PLDR_DATA_TABLE_ENTRY mod, PVOID /*UserData*/, PBOOLEAN bStop )
{
*bStop = FALSE;
DbgPrint("%p %wZ\n", mod->DllBase, &mod->FullDllName);
}
LdrEnumerateLoadedModules(0, EnumModules, 0);