驱动开发之遍历驱动

一、目标：遍历系统中所有已加载驱动

在内核中，每一个已加载的模块（exe / dll / sys）都会有一个
_LDR_DATA_TABLE_ENTRY 结构体描述它。

对于驱动来说：会把"当前驱动对应的那个 _LDR_DATA_TABLE_ENTRY 的地址"
存放在 DriverObject->DriverSection 中。

DriverObject->DriverSection = 当前驱动自己的 _LDR_DATA_TABLE_ENTRY

_LDR_DATA_TABLE_ENTRY 并不是孤立存在的, 它的第一个成员 InLoadOrderLinks 表明：这个结构被设计成"可挂入链表的节点"。

换句话说：每一个模块的 _LDR_DATA_TABLE_ENTRY，都和其它模块的 _LDR_DATA_TABLE_ENTRY 通过 LIST_ENTRY 相互连接

二、遍历的本质

遍历代码做的事情只有三步：

1. 拿到当前驱动的 _LDR_DATA_TABLE_ENTRY

2. 通过它的InLoadOrderLinks.Flink 找到"下一个节点"

3. 再从这个节点还原出下一个模块的 _LDR_DATA_TABLE_ENTRY

遍历驱动

完整代码：

#include <ntddk.h>

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;

    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    LIST_ENTRY HashLinks;

    PVOID SectionPointer;
    ULONG CheckSum;
    ULONG TimeDateStamp;

    PVOID LoadedImports;
    PVOID EntryPointActivationContext;
    PVOID PatchInformation;
    LIST_ENTRY ForwarderLinks;
    LIST_ENTRY ServiceTagLinks;
    LIST_ENTRY StaticLinks;
    PVOID ContextInformation;
    ULONG OriginalBase;
    LARGE_INTEGER LoadTime;
} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;

// 卸载函数
VOID DriverUnload(PDRIVER_OBJECT DriverObject)
{
    DbgPrint("(mydriver) 驱动程序停止运行了。\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    

    DbgPrint("(mydriver) DRIVER_OBJECT 地址：%p\n", DriverObject);
    DbgPrint("(mydriver) 驱动名称：%wZ\n", &DriverObject->DriverName);
    DbgPrint("(mydriver) 模块基址：%p\n", DriverObject->DriverStart);
    DbgPrint("(mydriver) 模块大小：0x%X\n", DriverObject->DriverSize);

    DbgPrint("(mydriver) -------开始遍历模块-------\n");

    // DriverSection 通常指向当前驱动自身的 LDR_DATA_TABLE_ENTRY
    PLDR_DATA_TABLE_ENTRY first = (PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
    if (first == NULL)
    {
        DbgPrint("(mydriver) DriverSection 为空，无法遍历。\n");
        DriverObject->DriverUnload = DriverUnload;
        return STATUS_SUCCESS;
    }

    // 用 LIST_ENTRY 来做链表遍历
    PLIST_ENTRY head = &first->InLoadOrderLinks;
    PLIST_ENTRY cur = head->Flink;

    int i = 0;
    while (cur != head)
    {
        // 从 LIST_ENTRY* 还原回 LDR_DATA_TABLE_ENTRY*
        PLDR_DATA_TABLE_ENTRY ldr =
            CONTAINING_RECORD(cur, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

        if (ldr->FullDllName.Length != 0)
        {
            DbgPrint("(mydriver) [%d] %wZ\n", i++, &ldr->FullDllName);
            // DbgPrint("(mydriver)     Base: %wZ\n", &ldr->BaseDllName);
            // DbgPrint("(mydriver)     BaseAddr: %p\n", ldr->DllBase);
            // DbgPrint("(mydriver)     Size: 0x%X\n", ldr->SizeOfImage);
        }

        cur = cur->Flink;
    }

    DbgPrint("(mydriver) -------遍历结束-------\n");

    DriverObject->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}