尝试在 LIST_ENTRY 列表中打印下一个进程名称后出现 BSOD

Question

我正在尝试在LIST_ENTRY 列表中的我的进程之后打印下一个进程名称。 但我总是蓝屏。

#include <Ntifs.h>
#include <ntddk.h>
#include <WinDef.h>

void SampleUnload(_In_ PDRIVER_OBJECT DriverObject) {

    UNREFERENCED_PARAMETER(DriverObject);
    DbgPrint("Sample driver Unload called\n");
}


extern "C"
NTSTATUS
DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
    UNREFERENCED_PARAMETER(RegistryPath);
    DriverObject->DriverUnload = SampleUnload;
    DbgPrint("Sample driver Load called\n");

    PEPROCESS EP;
    if (::PsLookupProcessByProcessId(::PsGetCurrentProcessId(), &EP) == STATUS_INVALID_PARAMETER) {
        DbgPrint("Can't get EPROCESS");
        return STATUS_INVALID_PARAMETER;
    }

    LIST_ENTRY list_entry = *((LIST_ENTRY*)(LPBYTE)EP + 0x448);
    UCHAR* fileName;
    fileName = ((UCHAR*)(LPBYTE)list_entry.Flink - 0x448 + 0x5a8);

    for (int i = 0; i < 15; i++)
        DbgPrint("%u" , fileName[i]);

    DbgPrint("Finish");

    return STATUS_SUCCESS;
}

在EPROCESS 结构中，0x448 偏移量中有一个LIST_ENTRY 对象。 所以我创建了一个LIST_ENTRY 对象并将他分配给EPROCESS + 0x448 的地址，然后我将0x5a8-0x448 添加到LIST_ENTRY.FLINK。 假设在0x5a8 偏移量中到达ImageFileName 数组。

但是由于某种原因它不起作用。

Answer 1

您的代码中有多个无意义的强制转换：

*((LIST_ENTRY*)(LPBYTE)EP + 0x448);

和

((UCHAR*)(LPBYTE)list_entry.Flink - 0x448 + 0x5a8);

这意味着例如将EP（不是它的地址）转换为字节指针，然后（因为强制转换具有从右到左的关联性）立即忘记转换为字节指针，而是转换为@987654324 @。然后在犹豫要使用哪种类型时，对LIST_ENTRY 对象执行指针运算。那是0x448 * sizeof(LIST_ENTRY) 字节。

我猜你实际上是打算这样做的：

LPBYTE lpb = (LPBYTE)&EP + 0x448;
LIST_ENTRY list_entry = *(LIST_ENTRY*)lpb;

不过，这可能是一个严格的别名违规错误。或者对齐错误。