迭代PEB DllName只显示exe名称

时间:2016-12-22 07:31:55

标签: c windows winapi shellcode

我正在尝试获取应用程序中已加载模块的列表(与安全/ shellcode有关,因此请不要使用WINAPI调用)。我正在迭代PEB-> Ldr双向链接的模块列表,但每次打印DLL的名称时,它只会打印当前正在执行的应用程序的名称和路径。

在其他人的代码中,我看到他们只是将当前的LIST_ENTRY指针设为PLDR_DATA_TABLE_ENTRY,您可以直接调用FullDllName。但是,要实际获取基址,例如,您需要调用Reserved2[0]而不是DllBase这是可以理解的,因为LIST_ENTRY是结构中的8个字节,但是它没有解释为什么你可以直接拨打FullDllName

Here's an example.请注意return (HMODULE)pLdrDataTableEntry->Reserved2[0];

我在x86发布模式下使用Windows 10 x64和Visual Studio 2015。

void ListModules(void) {
    PPEB lpPeb = __readfsdword(0x30);
    PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
    PLIST_ENTRY lpFirst, lpCurrent;
    lpFirst = lpCurrent = lpLdr->InMemoryOrderModuleList.Flink;

    do {
        PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
        wprintf(L"%s ~ %d ~ 0x%08x\n", lpDataTable->FullDllName.Buffer, lpDataTable->DllBase, (DWORD)lpCurrent);
        lpCurrent= lpCurrent ->Flink;
    } while (lpCurrent && lpFirst != lpCurrent);    
}

我收到的输出只是对当前应用程序名称的多个引用:

C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53a18
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53930
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53da8
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54078
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54a68
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54910
C:\Programs\Project\file.exe ~ 2818048 ~ 0x7743fbf4

这很可能是MSDN臭名昭着的文档,但我怎样才能解决这个问题,最好是采用不需要定义自己结构的“标准”方式,尽管我当然不反对。

我没有正确迭代吗?

1 个答案:

答案 0 :(得分:2)

看看这一行

    PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);

lpFirst你没有改变循环!所以,并一直得到相同的记录。您需要将lpFirst更改为lpCurrent 

while (lpCurrent && lpFirst != lpCurrent);

lpCurrent永远不会成为NULL - 这是圆列表,因此条件必须是

while (lpFirst != lpCurrent)

也必须不是

lpFirst = lpLdr->InMemoryOrderModuleList.Flink;

但是

lpFirst = &lpLdr->InMemoryOrderModuleList;

当然,必须同步访问此列表(LdrpLoaderLock关键部分),但是,如果您仍然需要..

<强> !!这不建议使用!!仅用于演示/测试 

void ListModules() {
    PPEB lpPeb = (PPEB)((_TEB*)NtCurrentTeb())->ProcessEnvironmentBlock;
    PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
    PLIST_ENTRY lpHead = &lpLdr->InMemoryOrderModuleList, lpCurrent = lpHead;

    while ((lpCurrent = lpCurrent ->Flink) != lpHead)
    {
        PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpCurrent, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
        DbgPrint("%p %wZ\n", lpDataTable->DllBase, &lpDataTable->FullDllName);
    }
}

但即使在shellcode中,最好首先获得指向api的指针,然后使用它。例如LdrEnumerateLoadedModules

这不是建议使用。仅适用于OP的演示 

void CALLBACK EnumModules(PLDR_DATA_TABLE_ENTRY mod, PVOID /*UserData*/, PBOOLEAN bStop )
{
    *bStop = FALSE;
    DbgPrint("%p %wZ\n", mod->DllBase, &mod->FullDllName);
}
    LdrEnumerateLoadedModules(0, EnumModules, 0);
相关问题
最新问题