Hàm tương tự GetModuleHandle, GetProcAddress trong Kernel

[zeroplus]

Chào mọi người, cho mình hỏi trong kernel có hàm nào tương tự 2 hàm GetModuleHandle,GetProcAddress trong usermode không ? hôm bữa search thấy có mà quên không lưu lại tên giờ không biết kiếm ở đâu. Hiện tại thì mình phải dùng mấy hàm được hướng dẫn trong này http://alter.org.ua/docs/nt_kernel/procaddr

Và mọi người có thể hướng dẫn mình cách lấy địa chỉ hàm ZwTerminateThread với được không? Cảm ơn rất nhiều

[Kevin Hoang]

Cách chuẩn mà nhiều người sử dụng là ZwQuerySystemInformation, cách sử dụng thì cũng như NtQuerySystemInformation

Kevin có đoạn code này:

Visual C++ Code:

Select All | Show/Hide

1. typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {
2.     ULONG  Unknown1;
3.     ULONG  Unknown2;
4. #ifdef _WIN64
5.     ULONG Unknown3;
6.     ULONG Unknown4;
7. #endif
8.     PVOID  Base;
9.     ULONG  Size;
10.     ULONG  Flags;
11.     USHORT  Index;
12.     USHORT  NameLength;
13.     USHORT  LoadCount;
14.     USHORT  PathLength;
15.     CHAR  ImageName[256];
16. } SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;
17.  
18. typedef struct _SYSTEM_MODULE_INFORMATION {
19.     ULONG Count;
20.     SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
21. } SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
22.  
23. PVOID KernelGetModuleBase(PCHAR  pModuleName)
24. {
25.     PVOID pModuleBase = NULL;
26.     PULONG pSystemInfoBuffer = NULL;
27.  
28.     __try
29.     {
30.         NTSTATUS status = STATUS_INSUFFICIENT_RESOURCES;
31.         ULONG    SystemInfoBufferSize = 0;
32.        
33.         status = ZwQuerySystemInformation(SystemModuleInfo, &SystemInfoBufferSize, 0, &SystemInfoBufferSize);
34.         if (!SystemInfoBufferSize) return NULL;
35.  
36.         pSystemInfoBuffer = (PULONG)ExAllocatePool(NonPagedPool, SystemInfoBufferSize*2);
37.         if (!pSystemInfoBuffer) return NULL;
38.  
39.         memset(pSystemInfoBuffer, 0, SystemInfoBufferSize*2);
40.  
41.         status = ZwQuerySystemInformation(SystemModuleInfo, pSystemInfoBuffer, SystemInfoBufferSize*2, &SystemInfoBufferSize);
42.  
43.         if (NT_SUCCESS(status))
44.         {
45.             PSYSTEM_MODULE_ENTRY pSysModuleEntry = ((PSYSTEM_MODULE_INFORMATION)(pSystemInfoBuffer))->Module;
46.             ULONG i;
47.            
48.             for (i = 0; i <((PSYSTEM_MODULE_INFORMATION)(pSystemInfoBuffer))->Count; i++)
49.             {
50.                 if (_stricmp(pSysModuleEntry[i].ModuleName + pSysModuleEntry[i].ModuleNameOffset, pModuleName) == 0)
51.                 {
52.                     pModuleBase = pSysModuleEntry[i].ModuleBaseAddress;
53.                     break;
54.                 }
55.             }
56.         }
57.  
58.     }
59.     __except(EXCEPTION_EXECUTE_HANDLER)
60.     {
61.         pModuleBase = NULL;
62.     }
63.    
64.     if(pSystemInfoBuffer) ExFreePool(pSystemInfoBuffer);
65.    
66.     return pModuleBase;
67. } // end KernelGetModuleBase()
68.  
69. PVOID KernelGetProcAddress( PVOID ModuleBase, PCHAR pFunctionName )
70. {
71.     PVOID pFunctionAddress = NULL;
72.    
73.     __try
74.     {
75. #ifndef WIN9X_SUPPORT
76.         ULONG size = 0;
77.         PIMAGE_EXPORT_DIRECTORY exports =(PIMAGE_EXPORT_DIRECTORY)RtlImageDirectoryEntryToData(ModuleBase, TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT, &size);
78.         ULONG addr = (PUCHAR)((ULONG)exports-(ULONG)ModuleBase);
79. #else
80.         PIMAGE_DOS_HEADER dos =(PIMAGE_DOS_HEADER) ModuleBase;
81.         PIMAGE_NT_HEADERS nt  =(PIMAGE_NT_HEADERS)((ULONG) ModuleBase + dos->e_lfanew);
82.  
83.         PIMAGE_DATA_DIRECTORY expdir = (PIMAGE_DATA_DIRECTORY)(nt->OptionalHeader.DataDirectory + IMAGE_DIRECTORY_ENTRY_EXPORT);
84.         ULONG addr = expdir->VirtualAddress;
85.         PIMAGE_EXPORT_DIRECTORY exports =(PIMAGE_EXPORT_DIRECTORY)((ULONG) ModuleBase + addr);
86. #endif
87.         PULONG functions = (PULONG)((ULONG) ModuleBase + exports->AddressOfFunctions);
88.         PSHORT ordinals  = (PSHORT)((ULONG) ModuleBase + exports->AddressOfNameOrdinals);
89.         PULONG names     = (PULONG)((ULONG) ModuleBase + exports->AddressOfNames);
90.         ULONG  max_name  = exports->NumberOfNames;
91.         ULONG  max_func  = exports->NumberOfFunctions;
92.  
93.         ULONG i;
94.  
95.         for (i = 0; i < max_name; i++)
96.         {
97.             ULONG ord = ordinals[i];
98.             if(i >= max_name || ord >= max_func) return NULL;
99.            
100.             if (functions[ord] < addr || functions[ord] >= addr + size)
101.             {
102.                 if (strcmp((PCHAR) ModuleBase + names[i], pFunctionName)  == 0)
103.                 {
104.                     pFunctionAddress =(PVOID)((PCHAR) ModuleBase + functions[ord]);
105.                     break;
106.                 }
107.             }
108.         }
109.     }
110.     __except(EXCEPTION_EXECUTE_HANDLER)
111.     {
112.         pFunctionAddress = NULL;
113.     }
114.  
115.     return pFunctionAddress;
116. } // end KernelGetProcAddress()