随笔分类 -  驱动学习

摘要：PsLoadedModuleList是系统的一个全局变量,它指向一个保存着所加载驱动信息的双向链表。通过它可以枚举系统中所有的驱动模块。这个双向链表的结构如下:kd> dt _LIST_ENTRYnt!_LIST_ENTRY +0x000 Flink : Ptr32 _LIST_ENTRY //指向后一个链表 +0x004 Blink : Ptr32 _LIST_ENTRY //指向前一个链表每一个驱动对象都存在这样一个结构.我们先看_DRIVER_OBJECT的结构kd> dt _DRIVER_OBJECTnt!_DRI... 阅读全文

摘要：在R0下利用ZwQuerySystemInformation 查 SystemModuleInformation 来枚举驱动模块代码如下:////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// rootkit.h////////////////////////////////////////////////////////////////////////////////////////////////... 阅读全文