我正在尝试获取我的应用程序中已加载模块的列表(与安全/shellcode 有关,因此请避免调用 WINAPI)。我正在遍历 PEB->Ldr 模块双向链表,但每次打印 DLL 的名称时,它只是打印当前正在执行的应用程序的名称和路径。
在其他人的代码中,我看到他们只是将当前的 LIST_ENTRY 指针设为 PLDR_DATA_TABLE_ENTRY,您可以直接调用 FullDllName 那样。但是,例如,要实际获取基址,您需要调用 Reserved2[0] 而不是 DllBase,这是可以理解的,因为 LIST_ENTRY 是结构中的 8 个字节,但它没有解释为什么可以直接调用 FullDllName。
Here's an example.注意 return (HMODULE)pLdrDataTableEntry->Reserved2[0];
我在 x86 Release模式下使用 Windows 10 x64 和 Visual Studio 2015。
void ListModules(void) {
PPEB lpPeb = __readfsdword(0x30);
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpFirst, lpCurrent;
lpFirst = lpCurrent = lpLdr->InMemoryOrderModuleList.Flink;
do {
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
wprintf(L"%s ~ %d ~ 0x%08x\n", lpDataTable->FullDllName.Buffer, lpDataTable->DllBase, (DWORD)lpCurrent);
lpCurrent= lpCurrent ->Flink;
} while (lpCurrent && lpFirst != lpCurrent);
}
我收到的输出只是对当前应用程序名称的多个引用:
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53a18
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53930
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d53da8
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54078
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54a68
C:\Programs\Project\file.exe ~ 2818048 ~ 0x00d54910
C:\Programs\Project\file.exe ~ 2818048 ~ 0x7743fbf4
这很可能是对 MSDN 臭名昭著的无文档记录造成的,但我该如何解决这个问题,最好是以不需要定义我自己的结构的“标准”方式,尽管我当然不反对。
我没有正确迭代吗?
最佳答案
看看这一行
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpFirst, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
但是 lpFirst 你没有在循环中改变!所以一直得到相同的记录。您需要将 lpFirst 更改为 lpCurrent
还有
while (lpCurrent && lpFirst != lpCurrent);
lpCurrent 永远不会成为 NULL - 这是循环列表,所以条件必须是
while (lpFirst != lpCurrent)
也一定不是
lpFirst = lpLdr->InMemoryOrderModuleList.Flink;
但是
lpFirst = &lpLdr->InMemoryOrderModuleList;
当然必须同步访问这个列表(LdrpLoaderLock 关键部分)但是,如果你想要的话..
<强>!!这个不推荐使用!!仅用于演示/测试
void ListModules() {
PPEB lpPeb = (PPEB)((_TEB*)NtCurrentTeb())->ProcessEnvironmentBlock;
PPEB_LDR_DATA lpLdr = lpPeb->Ldr;
PLIST_ENTRY lpHead = &lpLdr->InMemoryOrderModuleList, lpCurrent = lpHead;
while ((lpCurrent = lpCurrent ->Flink) != lpHead)
{
PLDR_DATA_TABLE_ENTRY lpDataTable = CONTAINING_RECORD(lpCurrent, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
DbgPrint("%p %wZ\n", lpDataTable->DllBase, &lpDataTable->FullDllName);
}
}
但即使在 shellcode 中,也最好先获取一些 api 的指针,然后再使用它。例如 LdrEnumerateLoadedModules
不推荐使用。仅供 OP 演示
void CALLBACK EnumModules(PLDR_DATA_TABLE_ENTRY mod, PVOID /*UserData*/, PBOOLEAN bStop )
{
*bStop = FALSE;
DbgPrint("%p %wZ\n", mod->DllBase, &mod->FullDllName);
}
LdrEnumerateLoadedModules(0, EnumModules, 0);
关于c - 迭代 PEB DllName 仅显示 exe 名称,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41277888/
我得到了一个包含嵌套链接的表单。编辑时链接字段为空的问题。这是我的表格:Editingkategori{:action=>'update',:id=>@konkurrancer.id})do|f|%>'Trackingurl',:style=>'width:500;'%>'Editkonkurrence'%>|我的konkurrencer模型:has_one:link我的链接模型:classLink我的konkurrancer编辑操作:defedit@konkurrancer=Konkurrancer.find(params[:id])@konkurrancer.link_attrib
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
exe应该在我打开页面时运行。异步进程需要运行。有什么方法可以在ruby中使用两个参数异步运行exe吗?我已经尝试过ruby命令-system()、exec()但它正在等待过程完成。我需要用参数启动exe,无需等待进程完成是否有任何rubygems会支持我的问题? 最佳答案 您可以使用Process.spawn和Process.wait2:pid=Process.spawn'your.exe','--option'#Later...pid,status=Process.wait2pid您的程序将作为解释器的子进程执行。除
所以我在关注Railscast,我注意到在html.erb文件中,ruby代码有一个微弱的背景高亮效果,以区别于其他代码HTML文档。我知道Ryan使用TextMate。我正在使用SublimeText3。我怎样才能达到同样的效果?谢谢! 最佳答案 为SublimeText安装ERB包。假设您安装了SublimeText包管理器*,只需点击cmd+shift+P即可获得命令菜单,然后键入installpackage并选择PackageControl:InstallPackage获取包管理器菜单。在该菜单中,键入ERB并在看到包时选择
我试图在索引页中创建一个超链接,但它没有显示,也没有给出任何错误。这是我的index.html.erb代码。ListingarticlesTitleTextssss我检查了我的路线,我认为它们也没有问题。PrefixVerbURIPatternController#Actionwelcome_indexGET/welcome/index(.:format)welcome#indexarticlesGET/articles(.:format)articles#indexPOST/articles(.:format)articles#createnew_articleGET/article
我是rails的新手,想在form字段上应用验证。myviewsnew.html.erb.....模拟.rbclassSimulation{:in=>1..25,:message=>'Therowmustbebetween1and25'}end模拟Controller.rbclassSimulationsController我想检查模型类中row字段的整数范围,如果不在范围内则返回错误信息。我可以检查上面代码的范围,但无法返回错误消息提前致谢 最佳答案 关键是您使用的是模型表单,一种显示ActiveRecord模型实例属性的表单。c
我在用Ruby执行简单任务时遇到了一件奇怪的事情。我只想用每个方法迭代字母表,但迭代在执行中先进行:alfawit=("a".."z")puts"That'sanalphabet:\n\n#{alfawit.each{|litera|putslitera}}"这段代码的结果是:(缩写)abc⋮xyzThat'sanalphabet:a..z知道为什么它会这样工作或者我做错了什么吗?提前致谢。 最佳答案 因为您的each调用被插入到在固定字符串之前执行的字符串文字中。此外,each返回一个Enumerable,实际上您甚至打印它。试试
目前,Itembelongs_toCompany和has_manyItemVariants。我正在尝试使用嵌套的fields_for通过Item表单添加ItemVariant字段,但是使用:item_variants不显示该表单。只有当我使用单数时才会显示。我检查了我的关联,它们似乎是正确的,这可能与嵌套在公司下的项目有关,还是我遗漏了其他东西?提前致谢。注意:下面的代码片段中省略了不相关的代码。编辑:不知道这是否相关,但我正在使用CanCan进行身份验证。routes.rbresources:companiesdoresources:itemsenditem.rbclassItemi
如何在Ruby中按名称传递函数?(我使用Ruby才几个小时,所以我还在想办法。)nums=[1,2,3,4]#Thisworks,butismoreverbosethanI'dlikenums.eachdo|i|putsiend#InJS,Icouldjustdosomethinglike:#nums.forEach(console.log)#InF#,itwouldbesomethinglike:#List.iternums(printf"%A")#InRuby,IwishIcoulddosomethinglike:nums.eachputs在Ruby中能不能做到类似的简洁?我可以只
如果我在模型中设置验证消息validates:name,:presence=>{:message=>'Thenamecantbeblank.'}我如何让该消息显示在闪光警报中,这是我迄今为止尝试过的方法defcreate@message=Message.new(params[:message])if@message.valid?ContactMailer.send_mail(@message).deliverredirect_to(root_path,:notice=>"Thanksforyourmessage,Iwillbeintouchsoon")elseflash[:error]