需要一个内核模式 API 来查找用户模式 ​​Win32 Dll 的基址

Question

我是设备驱动程序编程的新手。我遵循了网络上的可用教程，其中提供了有用的入门信息。然而现在我已经开始了一个新项目，其唯一目标是搜索被恶意软件或键盘记录器挂钩的功能。所以我想我已经整理出了完成此任务所需的内容，尽管我仍然需要能够找到已加载到内存中的系统 dll（即 kernel32.dll、user32.dll 等）的加载地址。我需要加载地址，以便我可以解析它们的 PE 以到达导出和导入部分。此外，将加载地址添加到文件大小将为我提供一个地址范围来交叉引用导出函数的地址，不是吗？交叉引用导入地址会涉及更多一些，但根据我的估计可以完成。我认为构建内核模式驱动程序将是正确的方法，因为与用户模式应用程序相比，访问内核驱动程序地址范围之外的内存对于驱动程序来说不是问题。我还能如何访问位于目标 dll 的 EAT 和 IAT 中的地址？我知道存在一个用户模式 ​​API 可以提供加载地址，主要是 GetModuleHandle，但我想在内核模式下找到等效的。我可以编写一个用户模式应用程序，可以将这些信息转发给驱动程序，但如果可能的话，我更希望这一切都在内核模式下完成。任何建议或意见将非常受欢迎。

预先感谢

维克多

p.s 这篇文章已被编辑以更加清晰。希望它能让我更清楚地了解我正在努力实现的目标。

Answer 1

在内核模式下这可能不是一个好主意。您什么时候才能真正做到这一点并保证流程处于可以通过 IAT 的状态？

如果进程正在加载 DLL 怎么办？如果您正在线程内执行（即从系统调用或设备 IOCTL），如果其他线程也在执行怎么办？当您不是操作系统时执行此操作是一个非常难以正确执行的建议，并且非常很容易破坏客户计算机的稳定性（天哪，即使您操作系统）

Answer 2

看看 LdrGetProcedureAddress 以及该团伙的其他成员。

编辑：

MmGetSystemRoutineAddress可能也会有帮助。

Answer 3

只是想感谢大家的贡献。我确实进行了一些进一步的研究，发现有一个名为 PsLoadImageNotifyCallback 的内核模式 API，它能够找到任何进程的基地址。