我正在尝试获取应用程序中加载模块的列表(与安全性/shellcode有关,因此请不要调用WINAPI)。我正在迭代 PEB->Ldr 模块的双向链表,但每次打印 DLL 的名称时,它都只是打印当前正在执行的应用程序的名称和路径。
在其他代码中,我已经看到他们只是将当前LIST_ENTRY
指针视为PLDR_DATA_TABLE_ENTRY
,您可以通过这种方式直接调用FullDllName
。但是,例如,要实际获取基址,您需要调用Reserved2[0]
而不是DllBase
这是可以理解的,因为LIST_ENTRY
是结构中的 8 个字节,但它没有解释为什么您可以直接调用FullDllName
。
下面是一个示例。请注意return (HMODULE)pLdrDataTableEntry->Reserved2[0];
我在 Visual Studio 2015 的 x86 发布模式下使用 Windows 10 x64。
void ListModules(void) {
PPEB lpPeb = __readfsdword(0x30);
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpFirst, lpCurrent;
lpFirst = lpCurrent = lpLdr->InMemoryOrderModuleList.Flink;
do {
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
wprintf(L"%s ~ %d ~ 0x%08xn", lpDataTable->FullDllName.Buffer, lpDataTable->DllBase, (DWORD)lpCurrent);
lpCurrent= lpCurrent ->Flink;
} while (lpCurrent && lpFirst != lpCurrent);
}
我收到的输出只是对当前应用程序名称的多个引用:
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d53a18
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d53930
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d53da8
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d54078
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d54a68
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x00d54910
C:ProgramsProjectfile.exe ~ 2818048 ~ 0x7743fbf4
这很可能与MSDN臭名昭著的非文档有关,但是我如何解决这个问题,最好是以不需要定义自己的结构的"标准"方式,尽管我当然不反对它。
我迭代不正确吗?
看这一行
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
但是lpFirst
你不要在循环中改变! 所以并且一直获得相同的记录。 您需要将lpFirst
更改为lpCurrent
也
while (lpCurrent && lpFirst != lpCurrent);
lpCurrent
永远不会成为 NULL - 这是圆列表,所以条件必须是
while (lpFirst != lpCurrent)
也一定不是
lpFirst = lpLdr->InMemoryOrderModuleList.Flink;
但
lpFirst = &lpLdr->InMemoryOrderModuleList;
当然,对此列表的访问必须同步(LdrpLoaderLock
关键部分),但是,如果您愿意的话..
!! 不建议使用!! 仅用于演示/测试
void ListModules() {
PPEB lpPeb = (PPEB)((_TEB*)NtCurrentTeb())->ProcessEnvironmentBlock;
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpHead = &lpLdr->InMemoryOrderModuleList, lpCurrent = lpHead;
while ((lpCurrent = lpCurrent ->Flink) != lpHead)
{
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpCurrent, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
DbgPrint("%p %wZn", lpDataTable->DllBase, &lpDataTable->FullDllName);
}
}
但即使在shellcode中,Better也首先获得指向某些API的指针,然后使用它。 例如LdrEnumerateLoadedModules
不建议使用。 演示仅适用于 OP
void CALLBACK EnumModules(PLDR_DATA_TABLE_ENTRY mod, PVOID /*UserData*/, PBOOLEAN bStop )
{
*bStop = FALSE;
DbgPrint("%p %wZn", mod->DllBase, &mod->FullDllName);
}
LdrEnumerateLoadedModules(0, EnumModules, 0);