分享一个x64内核符号枚举代码 50行简洁易懂

jimmy肖明 · 发表于 2024-3-1 13:57:02

看别人源码写的邋里邋遢，于是改了下，发上来看看大家能用不

工程要编译成x64位的。

还需要两个DLL  dbghelp.dll symsrv.dll  和编译生成的EXE放在一起（在windbg目录有这俩个DLL）

以下是测试结果...
ntoskrnl.exe       0xFFFFF8000400E000
正在枚举符号...
PspCreateProcessNotifyRoutine  :FFFFF80004234F80
PspLoadImageNotifyRoutine    :FFFFF80004234D00
PspCreateThreadNotifyRoutine :FFFFF80004234D60
枚举符号结束...
请按任意键继续. . .

#include <Windows.h>
#include <stdio.h>
#include <string>
#include <psapi.h>
#include "dbghelp.h"
#pragma comment(lib,"dbghelp.lib")
BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext)
{
if (strcmp((pSymInfo->Name), "PspCreateProcessNotifyRoutine") == 0 ||
strcmp((pSymInfo->Name), "PspLoadImageNotifyRoutine") == 0 ||
strcmp((pSymInfo->Name), "PspCreateThreadNotifyRoutine") == 0)
{
printf("%-30s :%p\n", pSymInfo->Name, pSymInfo->Address);
}
return TRUE;
}
int main()
{
std::string strMod;
PVOID dwBaseAddr = 0;
PVOID pDrvAddr[128*8];
DWORD dwcbNeeded = 0;
if (EnumDeviceDrivers(pDrvAddr,sizeof(pDrvAddr),&dwcbNeeded))
{
for (unsigned int i=0 ; i<(dwcbNeeded/8) ; i++)
{
LPSTR chDrvName[MAX_PATH];
GetDeviceDriverBaseNameA(pDrvAddr[i],(LPSTR)chDrvName,MAX_PATH);
dwBaseAddr = pDrvAddr[i];
strMod = std::string((char*)chDrvName);
printf("%-20s 0x%p\n",strMod.c_str(),dwBaseAddr);
break;
}
}
SymSetOptions(SYMOPT_DEFERRED_LOADS);
HANDLE hProcess = GetCurrentProcess();
SymInitialize(hProcess, 0, FALSE);
std::string strSymbolPath = "srv*C:\\Windows\\symbols*[url=http://msdl.microsoft.com/download/symbols]http://msdl.microsoft.com/download/symbols[/url]";
std::string strSystemPath = "C:\\Windows\\System32" + strMod;
SymSetSearchPath(hProcess, strSymbolPath.c_str());
HANDLE hSystemFile = CreateFileA(strSystemPath.c_str(), GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
NULL, OPEN_EXISTING, 0, NULL);
DWORD dwFileSize = GetFileSize(hSystemFile, NULL);
DWORD64 dwBase = SymLoadModule64(hProcess, NULL, strSystemPath.c_str(), NULL, (DWORD64)dwBaseAddr, dwFileSize);
printf("正在枚举符号...\n");
SymEnumSymbols(hProcess, dwBase, 0, EnumSymCallBack, 0);
printf("枚举符号结束...\n");
SymUnloadModule64(hProcess, dwBase);
SymCleanup(hProcess);
system("pause");
return 0;
}

复制代码

		自动登录	找回密码
密码			立即注册

→→→→→→→→→→→→	1点击查看所有VIP教程目录长列表(总教程数269个)	2办理VIP详情进入	←←←←←←←←←←←←
1 x64CE与x64dbg入门基础教程 7课已完结	2 x64汇编语言基础教程 16课已完结	3 x64辅助入门基础教程 9课已完结	4 C++x64内存辅助实战技术教程 149课已完结
5 C++x64内存检测与过检测技术教程 10课已完结	6 C+x64二叉树分析遍历与LUA自动登陆教程 19课已完结	7 C++BT功能原理与x64实战教程 29课已完结	8 C+FPS框透视与自瞄x64实现原理及防护思路 30课完结
64驱？封？ 9 64反驱？	10 64位V？	11 绝?	12 ???课？
13 64透？	14 64U ？	15 64Q ？	16 64功？
17 64U ？	18 64模？	19 64多？	20 64网？
21 64注？	22 64火？	23 64棋？	24 64自二链L？
25 64破？	VIP会员办理QQ: 89986068 【请先加好友，然后到好友列表双击联系客服办理,不然可能无法接受到信息。】	27 加入2000人交流群637034024	28 免责声明？

分享一个x64内核符号枚举代码 50行 简洁易懂

QQ咨询

分享一个x64内核符号枚举代码 50行简洁易懂