学步园

一、几个重要的数据结构，可以通过windbg的dt命令查看其详细信息

_PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY

二、技术原理

1、通过fs:[30h]获取当前进程的_PEB结构

2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构

3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构

4、通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构，注意：这里的Flink指向的是_LDR_DATA_TABLE_ENTRY结构中的InMemoryOrderLinks成员，因此需要计算真正的_LDR_DATA_TABLE_ENTRY起始地址，我们可以用CONTAINING_RECORD来计算。

5、输出_LDR_DATA_TABLE_ENTRY的BaseDllName或FullDllName成员信息。

三、代码实现(基于XP sp2 系统)

//EnumInLoadModule.c<br /> //compile:cl EnumInLoadModule.c<br /> #include <windows.h></p> <p>#define CONTAINING_RECORD(address, type, field) ((type *)( /<br /> (PCHAR)(address) - /<br /> (ULONG_PTR)(&((type *)0)->field)))</p> <p>typedef struct _UNICODE_STRING {<br /> USHORT Length;<br /> USHORT MaximumLength;<br /> PWSTR Buffer;<br /> } UNICODE_STRING, *PUNICODE_STRING;</p> <p>typedef struct _PEB_LDR_DATA<br /> {<br /> DWORD Length;<br /> UCHAR Initialized;<br /> PVOID SsHandle;<br /> LIST_ENTRY InLoadOrderModuleList;<br /> LIST_ENTRY InMemoryOrderModuleList;<br /> LIST_ENTRY InInitializationOrderModuleList;<br /> PVOID EntryInProgress;<br /> }PEB_LDR_DATA,*PPEB_LDR_DATA;</p> <p>typedef struct _LDR_DATA_TABLE_ENTRY<br /> {<br /> LIST_ENTRY InLoadOrderLinks;<br /> LIST_ENTRY InMemoryOrderLinks;<br /> LIST_ENTRY InInitializationOrderLinks;<br /> PVOID DllBase;<br /> PVOID EntryPoint;<br /> DWORD SizeOfImage;<br /> UNICODE_STRING FullDllName;<br /> UNICODE_STRING BaseDllName;<br /> DWORD Flags;<br /> WORD LoadCount;<br /> WORD TlsIndex;<br /> LIST_ENTRY HashLinks;<br /> PVOID SectionPointer;<br /> DWORD CheckSum;<br /> DWORD TimeDateStamp;<br /> PVOID LoadedImports;<br /> PVOID EntryPointActivationContext;<br /> PVOID PatchInformation;<br /> }LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENTRY;</p> <p>typedef struct _PEB<br /> {<br /> UCHAR InheritedAddressSpace;<br /> UCHAR ReadImageFileExecOptions;<br /> UCHAR BeingDebugged;<br /> UCHAR SpareBool;<br /> PVOID Mutant;<br /> PVOID ImageBaseAddress;<br /> PPEB_LDR_DATA Ldr;<br /> }PEB,*PPEB;</p> <p>int main(void)<br /> {<br /> PLDR_DATA_TABLE_ENTRY pLdrDataEntry = NULL;<br /> PLIST_ENTRY pListEntryStart = NULL,pListEntryEnd = NULL;<br /> PPEB_LDR_DATA pPebLdrData = NULL;<br /> PPEB pPeb = NULL;</p> <p> //故意加载一些DLL，以便测试!<br /> LoadLibrary("ResLibDemo");<br /> __asm<br /> {<br /> //1、通过fs:[30h]获取当前进程的_PEB结构<br /> mov eax,dword ptr fs:[30h];<br /> mov pPeb,eax<br /> }</p> <p> //2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构<br /> pPebLdrData = pPeb->Ldr;</p> <p> //3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENTRY结构<br /> pListEntryStart = pListEntryEnd = pPebLdrData->InMemoryOrderModuleList.Flink;</p> <p> //查找所有已载入到内存中的模块<br /> do<br /> {<br /> //4、通过_LIST_ENTRY的Flink成员获取_LDR_DATA_TABLE_ENTRY结构<br /> pLdrDataEntry = (PLDR_DATA_TABLE_ENTRY)CONTAINING_RECORD(pListEntryStart,LDR_DATA_TABLE_ENTRY,InMemoryOrderLinks);</p> <p> //5、输出_LDR_DATA_TABLE_ENTRY的BaseDllName或FullDllName成员信息<br /> printf("%S/n",pLdrDataEntry->BaseDllName.Buffer);</p> <p> pListEntryStart = pListEntryStart->Flink;</p> <p> }while(pListEntryStart != pListEntryEnd);<br /> }</p> <p>/*<br /> output:<br /> EnumInLoadModule.exe<br /> ntdll.dll<br /> kernel32.dll<br /> ResLibDemo.dll<br /> ...<br /> */  

四、总结

枚举模块有多种方式，随着深入的学习，希望能总结越来越来的方法。在这里感谢sai 的文章：http://www.debugman.com/read.php?tid=4255，虽然他的文章还没细看，但他里面的_LDR_DATA_TABLE_ENTRY结构促发了我编写测试的想法并总结了本文。