原文发表于百度空间,2008-7-25
==========================================================================

PEB中的Ldr部分包含有当前进程所加载的模块信息.
lkd> dt _peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
.....
其结构定义如下:

typedef struct _PEB_LDR_DATA

{

ULONG Length;

BOOLEAN Initialized;

PVOID SsHandle;

LIST_ENTRY InLoadOrderModuleList; //按加载顺序

LIST_ENTRY InMemoryOrderModuleList; //按内存顺序

LIST_ENTRY InInitializationOrderModuleList; //按初始化顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;

另一个重要结构就是存储每个模块信息的LDR_MODULE部分,其定义如下:

typedef struct _LDR_MODULE

{

LIST_ENTRY          InLoadOrderModuleList;

LIST_ENTRY          InMemoryOrderModuleList;

LIST_ENTRY          InInitializationOrderModuleList;

void*               BaseAddress;

void*               EntryPoint;

ULONG               SizeOfImage;

UNICODE_STRING      FullDllName;

UNICODE_STRING      BaseDllName;

ULONG               Flags;

SHORT               LoadCount;

SHORT               TlsIndex;

HANDLE              SectionHandle;

ULONG               CheckSum;

ULONG               TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;

这两者的关系呢,引用别人的两张图来说明一下吧,看了图应该一目了然.

第二张图太大了,放个缩略图吧.
结构搞清楚之后,要遍历就很简单了,主要就是遍历一个双向环状链表.

PEB_LDR_DATA *pPEBLDR;

LDR_MODULE *pLdrMod;

LIST_ENTRY *pListEntry,*pStart;

void *p,*BaseAddress,*FullDllName;

_asm

{

   mov eax,fs:[0x30] //TEB->PEB

   mov eax,[eax+0xC] //PEB->Ldr

   mov pPEBLDR,eax

}

printf("PEB_LDR_DATA:0x%08x\n",pPEBLDR);

printf("LDR->Length:0x%08x\n",pPEBLDR->Length);

printf("LDR->InLoadOrderModuleList:\t\t0x%08x\n",pPEBLDR->InLoadOrderModuleList);

printf("LDR->InMemoryOrderModuleList:\t\t0x%08x\n",pPEBLDR->InMemoryOrderModuleList);

printf("LDR->InInitializationOrderModuleList:\t0x%08x\n",pPEBLDR->InInitializationOrderModuleList);

//遍历双链表

pListEntry=(LIST_ENTRY*)(PUCHAR)&(pPEBLDR->InLoadOrderModuleList);

pStart=pListEntry;

printf("BaseAddress\t\tFullDllName\n====================================\n");

do

{

   pListEntry=pListEntry->Flink;

   pLdrMod=(LDR_MODULE*)pListEntry;

   printf("0x%08x\t\t",pLdrMod->BaseAddress);

   wprintf(L"%s\n",pLdrMod->FullDllName.Buffer);

} while(pListEntry!=pStart);

效果图:

【旧文章搬运】从PEB获取内存中模块列表的更多相关文章

  1. 【旧文章搬运】《从PEB获取内存中模块列表》的补充

    原文发表于百度空间,2008-7-26========================================================================== 继续研究PE ...

  2. 【旧文章搬运】暴搜内存查找PE镜像

    原文发表于百度空间,2008-7-28========================================================================== 前面介绍了修 ...

  3. 【旧文章搬运】改PEB中的映像路径可以这样~

    原文发表于百度空间,2008-7-26========================================================================== 用常用的几个 ...

  4. 【旧文章搬运】KeUserModeCallback用法详解

    原文发表于百度空间及看雪论坛,2010-01-10 看雪论坛地址:https://bbs.pediy.com/thread-104918.htm  代码及附件可到这里下载=============== ...

  5. 【旧文章搬运】无Device的驱动如何通信

    原文发表于百度空间,2009-07-14========================================================================== 标准的驱动 ...

  6. 【旧文章搬运】PE重定位表学习手记

    原文发表于百度空间,2008-11-02========================================================================== 先定义一下 ...

  7. 【旧文章搬运】CsrssWalker学习笔记

    原文发表于百度空间及看雪论坛,2009-05-13 看雪论坛地址:https://bbs.pediy.com/thread-89708.htm============================= ...

  8. [工具类]获取url中参数列表

    写在前面 在项目中经常用到解析url中参数的逻辑,今天先下载就自己封装了一个方法,方便以后使用的时候,信手拈来.当然这里给出的方法是针对常见的url参数类型的,对于重写url,或者路由格式的不考虑. ...

  9. 【旧文章搬运】获取并修改PEB中的映像路径,命令行和当前目录

    原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了======================================= ...

随机推荐

  1. Linux下的搜索命令grep(转)

    一.简介 grep(global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具, ...

  2. Adding an Exception Breakpoint - Terminating app due to uncaught exception 'NSRangeException', reason: '*** -[__NSArrayM objectAtIndex:]: index 25 bey

    用如下的方法可以非常方便停留到具体crash的某行代码 Adding an Exception Breakpoint Add an exception breakpoint to your proje ...

  3. send to instance already dealloc nil error

    这个是因为发送消息的对象已经被dealloc了,然后再次发送[release]请求就不行了.所以可以retain或者alloc对象 if (self.buttonsList) {            ...

  4. ASP.NET Core默认注入方式下如何注入多个实现(多种方式) - sky 胡萝卜星星 - CSDN博客

    原文:ASP.NET Core默认注入方式下如何注入多个实现(多种方式) - sky 胡萝卜星星 - CSDN博客 版权声明:本文为starfd原创文章,转载请标明出处. https://blog.c ...

  5. 高速清除winXP系统中explorer.exe病毒

    关于这个explorer.exe病毒.是眼下xp最为常见的一个病毒,会大量的消耗系统资源,造成电脑特别的卡顿. 1.关闭还原(假设没有,则跳过),为的是防止我们改动后,还原之后又回来了. 2.打开注冊 ...

  6. FineReport实现java报表报表展示的效果图

    Java报表-动态折叠树 Java报表-段落明细表 Java报表-多层统计 Java报表-多源分片与冻结 Java报表-发票套打表 Java报表-非统一页面打印 Java报表-复杂票据 Java报表- ...

  7. cocos2dx 3.0打包android遇到的错误(持续更新)

    1.编译时遇到找不到文件的错误:比如fatal error: cocos-ext.h: No such file or directory    , fatal error: CocosGUI.h: ...

  8. iOS 内购遇到的坑

    一.内购沙盒测试账号在支付成功后,再次购买相同 ID 的物品,会提示如下内容的弹窗.您以购买过此APP内购项目,此项目将免费恢复 原因: 当使用内购购买过商品后没有把这个交易事件关,所以当我们再次去购 ...

  9. const& 的东西

    class_name ( class_name const & source ); 是拷贝构造函数的标准声明. 它和如下声明是一个意思 class_name ( const class_nam ...

  10. SpringMVC实战(注解)

    1.前言 前面几篇介绍了SpringMVC中的控制器以及视图之间的映射方式,这篇来解说一下SpringMVC中的注解,通过注解能够非常方便的訪问到控制器中的某个方法. 2.配置文件配置 2.1 注解驱 ...