驱动开发之遍历驱动

一、目标：遍历系统中所有已加载驱动

在内核中，每一个已加载的模块（exe / dll / sys）都会有一个
_LDR_DATA_TABLE_ENTRY结构体描述它。

对于驱动来说：会把“当前驱动对应的那个 _LDR_DATA_TABLE_ENTRY 的地址” 存放在 DriverObject->DriverSection 中。 DriverObject->DriverSection=当前驱动自己的 _LDR_DATA_TABLE_ENTRY

_LDR_DATA_TABLE_ENTRY并不是孤立存在的, 它的第一个成员InLoadOrderLinks表明：这个结构被设计成“可挂入链表的节点”。
换句话说：每一个模块的_LDR_DATA_TABLE_ENTRY，都和其它模块的_LDR_DATA_TABLE_ENTRY通过LIST_ENTRY相互连接

二、遍历的本质

遍历代码做的事情只有三步：

1. 拿到当前驱动的_LDR_DATA_TABLE_ENTRY

2. 通过它的InLoadOrderLinks.Flink找到“下一个节点”

3. 再从这个节点还原出下一个模块的 _LDR_DATA_TABLE_ENTRY

遍历驱动

完整代码：

#include<ntddk.h>typedefstruct_LDR_DATA_TABLE_ENTRY{LIST_ENTRY InLoadOrderLinks;LIST_ENTRY InMemoryOrderLinks;LIST_ENTRY InInitializationOrderLinks;PVOID DllBase;PVOID EntryPoint;ULONG SizeOfImage;UNICODE_STRING FullDllName;UNICODE_STRING BaseDllName;ULONG Flags;USHORT LoadCount;USHORT TlsIndex;LIST_ENTRY HashLinks;PVOID SectionPointer;ULONG CheckSum;ULONG TimeDateStamp;PVOID LoadedImports;PVOID EntryPointActivationContext;PVOID PatchInformation;LIST_ENTRY ForwarderLinks;LIST_ENTRY ServiceTagLinks;LIST_ENTRY StaticLinks;PVOID ContextInformation;ULONG OriginalBase;LARGE_INTEGER LoadTime;}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;// 卸载函数VOIDDriverUnload(PDRIVER_OBJECT DriverObject){DbgPrint("(mydriver) 驱动程序停止运行了。\n");}NTSTATUSDriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath){DbgPrint("(mydriver) DRIVER_OBJECT 地址：%p\n",DriverObject);DbgPrint("(mydriver) 驱动名称：%wZ\n",&DriverObject->DriverName);DbgPrint("(mydriver) 模块基址：%p\n",DriverObject->DriverStart);DbgPrint("(mydriver) 模块大小：0x%X\n",DriverObject->DriverSize);DbgPrint("(mydriver) -------开始遍历模块-------\n");// DriverSection 通常指向当前驱动自身的 LDR_DATA_TABLE_ENTRYPLDR_DATA_TABLE_ENTRY first=(PLDR_DATA_TABLE_ENTRY)DriverObject->DriverSection;if(first==NULL){DbgPrint("(mydriver) DriverSection 为空，无法遍历。\n");DriverObject->DriverUnload=DriverUnload;returnSTATUS_SUCCESS;}// 用 LIST_ENTRY 来做链表遍历PLIST_ENTRY head=&first->InLoadOrderLinks;PLIST_ENTRY cur=head->Flink;inti=0;while(cur!=head){// 从 LIST_ENTRY* 还原回 LDR_DATA_TABLE_ENTRY*PLDR_DATA_TABLE_ENTRY ldr=CONTAINING_RECORD(cur,LDR_DATA_TABLE_ENTRY,InLoadOrderLinks);if(ldr->FullDllName.Length!=0){DbgPrint("(mydriver) [%d] %wZ\n",i++,&ldr->FullDllName);// DbgPrint("(mydriver) Base: %wZ\n", &ldr->BaseDllName);// DbgPrint("(mydriver) BaseAddr: %p\n", ldr->DllBase);// DbgPrint("(mydriver) Size: 0x%X\n", ldr->SizeOfImage);}cur=cur->Flink;}DbgPrint("(mydriver) -------遍历结束-------\n");DriverObject->DriverUnload=DriverUnload;returnSTATUS_SUCCESS;}