驱动开发之遍历驱动

取个名字太难了a2025-12-14 10:38

一、目标:遍历系统中所有已加载驱动

在内核中,每一个已加载的模块(exe / dll / sys)都会有一个
_LDR_DATA_TABLE_ENTRY 结构体描述它。

cpp 复制代码 
对于驱动来说:会把"当前驱动对应的那个 _LDR_DATA_TABLE_ENTRY 的地址"
存放在 DriverObject->DriverSection 中。

DriverObject->DriverSection = 当前驱动自己的 _LDR_DATA_TABLE_ENTRY

_LDR_DATA_TABLE_ENTRY 并不是孤立存在的, 它的第一个成员 InLoadOrderLinks 表明:这个结构被设计成"可挂入链表的节点"。

换句话说:每一个模块的 _LDR_DATA_TABLE_ENTRY,都和其它模块的 _LDR_DATA_TABLE_ENTRY 通过 LIST_ENTRY 相互连接

二、遍历的本质

遍历代码做的事情只有三步:

  1. 拿到当前驱动的 _LDR_DATA_TABLE_ENTRY

  2. 通过它的InLoadOrderLinks.Flink 找到"下一个节点"

  3. 再从这个节点还原出下一个模块的 _LDR_DATA_TABLE_ENTRY

遍历驱动

完整代码:

cpp 复制代码 
#include <ntddk.h>

typedef struct _LDR_DATA_TABLE_ENTRY {
    LIST_ENTRY InLoadOrderLinks;
    LIST_ENTRY InMemoryOrderLinks;
    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;
    PVOID EntryPoint;
    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;
    UNICODE_STRING BaseDllName;

    ULONG Flags;
    USHORT LoadCount;
    USHORT TlsIndex;
    LIST_ENTRY HashLinks;

    PVOID SectionPointer;
    ULONG CheckSum;
    ULONG TimeDateStamp;

    PVOID LoadedImports;
    PVOID EntryPointActivationContext;
    PVOID PatchInformation;
    LIST_ENTRY ForwarderLinks;
    LIST_ENTRY ServiceTagLinks;
    LIST_ENTRY StaticLinks;
    PVOID ContextInformation;
    ULONG OriginalBase;
    LARGE_INTEGER LoadTime;
} LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;

// 卸载函数
VOID DriverUnload(PDRIVER_OBJECT DriverObject)
{
    DbgPrint("(mydriver) 驱动程序停止运行了。\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    

    DbgPrint("(mydriver) DRIVER_OBJECT 地址:%p\n", DriverObject);
    DbgPrint("(mydriver) 驱动名称:%wZ\n", &DriverObject->DriverName);
    DbgPrint("(mydriver) 模块基址:%p\n", DriverObject->DriverStart);
    DbgPrint("(mydriver) 模块大小:0x%X\n", DriverObject->DriverSize);

    DbgPrint("(mydriver) -------开始遍历模块-------\n");

    // DriverSection 通常指向当前驱动自身的 LDR_DATA_TABLE_ENTRY
    PLDR_DATA_TABLE_ENTRY first = (PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;
    if (first == NULL)
    {
        DbgPrint("(mydriver) DriverSection 为空,无法遍历。\n");
        DriverObject->DriverUnload = DriverUnload;
        return STATUS_SUCCESS;
    }

    // 用 LIST_ENTRY 来做链表遍历
    PLIST_ENTRY head = &first->InLoadOrderLinks;
    PLIST_ENTRY cur = head->Flink;

    int i = 0;
    while (cur != head)
    {
        // 从 LIST_ENTRY* 还原回 LDR_DATA_TABLE_ENTRY*
        PLDR_DATA_TABLE_ENTRY ldr =
            CONTAINING_RECORD(cur, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);

        if (ldr->FullDllName.Length != 0)
        {
            DbgPrint("(mydriver) [%d] %wZ\n", i++, &ldr->FullDllName);
            // DbgPrint("(mydriver)     Base: %wZ\n", &ldr->BaseDllName);
            // DbgPrint("(mydriver)     BaseAddr: %p\n", ldr->DllBase);
            // DbgPrint("(mydriver)     Size: 0x%X\n", ldr->SizeOfImage);
        }

        cur = cur->Flink;
    }

    DbgPrint("(mydriver) -------遍历结束-------\n");

    DriverObject->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
相关推荐
小a杰.5 小时前
Flutter 测试驱动开发的基本流程
驱动开发·flutter
Coder_Boy_5 小时前
【DDD领域驱动开发】基础概念和企业级项目规范入门简介
java·开发语言·人工智能·驱动开发
闲人编程6 小时前
测试驱动开发与API测试:构建可靠的后端服务
驱动开发·python·flask·api·tdd·codecapsule
进击大厂的小白7 小时前
52.延迟工作队列
驱动开发
Saniffer_SH1 天前
【每日一题】PCIe答疑 - 接大量 GPU 时主板不认设备或无法启动和MMIO的可能关系?
运维·服务器·网络·人工智能·驱动开发·fpga开发·硬件工程
Saniffer_SH1 天前
【每日一题】讲讲PCIe链路训练和枚举的前后关系
运维·服务器·网络·数据库·驱动开发·fpga开发·硬件工程
颜子鱼1 天前
Linux platform总线驱动框架
linux·驱动开发
森焱森1 天前
GD32F4 DSP
linux·c语言·arm开发·驱动开发·嵌入式硬件
染指11101 天前
12.Windows驱动-R3到R0的系统调用
驱动开发·windows驱动
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03【AutoGLM部署】本地私有化部署AI手机Agent04UV安装并设置国内源05Open-AutoGLM Windows 安装部署教程06Linux下V2Ray安装配置指南07BongoCat - 跨平台键盘猫动画工具08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser10Windows 11 官方系统安装与重装完整教程(2025年最新版)