Windows进程模块枚举：绕过API，手把手教你用PEB_LDR_DATA自己实现（附完整C++代码）

Windows进程模块枚举：深入PEB_LDR_DATA的底层实现与实战

逆向工程师和安全研究人员常常需要在不依赖标准API的情况下获取进程模块信息。本文将带你深入Windows内核数据结构，通过PEB_LDR_DATA实现一个高性能的模块枚举器。

1. Windows模块加载机制解析

Windows操作系统在加载可执行文件时，会维护一个精密的模块管理系统。这个系统不仅记录着每个DLL的加载地址，还保存着它们的依赖关系、初始化顺序等关键信息。

模块信息存储的三个关键数据结构：

1. PEB (Process Environment Block)：每个进程独有的环境块，包含进程级信息
2. PEB_LDR_DATA：专门管理模块加载数据的结构
3. LDR_DATA_TABLE_ENTRY：描述单个模块的详细信息

在x64体系下，获取当前进程PEB的典型方法是：

PPEB peb = (PPEB)__readgsqword(0x60);

而在x86架构下则是：

PPEB peb = (PPEB)__readfsdword(0x30);

注意：不同Windows版本中这些偏移量可能变化，生产环境代码应该动态检测

2. PEB_LDR_DATA结构深度剖析

PEB_LDR_DATA是模块枚举的核心，它包含三个关键链表：

typedef struct _PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; // 按加载顺序排列 LIST_ENTRY InMemoryOrderModuleList; // 按内存顺序排列 LIST_ENTRY InInitializationOrderModuleList; // 按初始化顺序排列 } PEB_LDR_DATA, *PPEB_LDR_DATA;

每个LIST_ENTRY都是一个双向链表节点：

typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; struct _LIST_ENTRY *Blink; } LIST_ENTRY, *PLIST_ENTRY;

链表遍历的关键技巧：

1. 链表是循环的，终点不是NULL而是回到起点
2. 实际模块信息存储在LDR_DATA_TABLE_ENTRY中
3. 需要使用CONTAINING_RECORD宏从链表节点定位到完整结构

3. 实战：构建模块枚举器

下面是一个完整的模块枚举实现，支持x86和x64架构：

#include <windows.h> #include <winternl.h> #include <stdio.h> // 自定义结构定义，因为微软未完全公开这些结构 typedef struct _MY_PEB_LDR_DATA { ULONG Length; BOOLEAN Initialized; PVOID SsHandle; LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY InInitializationOrderModuleList; } MY_PEB_LDR_DATA, *PMY_PEB_LDR_DATA; typedef struct _MY_LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID DllBase; PVOID EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICODE_STRING BaseDllName; // 省略其他字段... } MY_LDR_DATA_TABLE_ENTRY, *PMY_LDR_DATA_TABLE_ENTRY; void EnumerateModules() { PMY_PEB_LDR_DATA pLdr; PLIST_ENTRY pListHead, pCurrent; PMY_LDR_DATA_TABLE_ENTRY pEntry; // 获取PEB #ifdef _WIN64 PPEB peb = (PPEB)__readgsqword(0x60); #else PPEB peb = (PPEB)__readfsdword(0x30); #endif pLdr = (PMY_PEB_LDR_DATA)peb->Ldr; pListHead = &pLdr->InMemoryOrderModuleList; pCurrent = pListHead->Flink; while (pCurrent != pListHead) { pEntry = CONTAINING_RECORD(pCurrent, MY_LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks); wprintf(L"模块: %s\n", pEntry->FullDllName.Buffer); printf("基址: 0x%p\n", pEntry->DllBase); printf("大小: %lu KB\n\n", pEntry->SizeOfImage / 1024); pCurrent = pCurrent->Flink; } } int main() { EnumerateModules(); return 0; }

4. 高级技巧与性能优化

4.1 三种链表的区别与应用场景

4.2 安全注意事项

• 遍历链表时要验证指针有效性
• 考虑注入的恶意模块可能破坏链表结构
• 在驱动中访问其他进程PEB需要特殊权限

4.3 性能优化建议

1. 缓存常用模块信息，避免重复遍历
2. 对大型进程使用哈希表加速查找
3. 并行处理不同链表（如果线程安全）

5. 实际应用案例

5.1 检测隐藏模块

某些恶意软件会从链表中移除自己的模块项来隐藏。完整检测方案：

1. 通过PEB遍历获取所有模块
2. 使用VirtualQuery检查所有内存区域
3. 交叉验证找出隐藏模块

5.2 热补丁检测系统

bool CheckModuleIntegrity(PMY_LDR_DATA_TABLE_ENTRY pEntry) { IMAGE_DOS_HEADER* pDos = (IMAGE_DOS_HEADER*)pEntry->DllBase; if (pDos->e_magic != IMAGE_DOS_SIGNATURE) return false; IMAGE_NT_HEADERS* pNt = (IMAGE_NT_HEADERS*)((BYTE*)pDos + pDos->e_lfanew); if (pNt->Signature != IMAGE_NT_SIGNATURE) return false; // 检查代码段哈希等... return true; }

5.3 进程注入检测

通过比较模块加载时间与进程启动时间，可以检测可疑的后期注入模块。

6. 跨版本兼容性处理

不同Windows版本中PEB结构可能有差异。健壮的代码应该：

1. 动态检测结构偏移量
2. 提供版本适配层
3. 实现后备机制

ULONG GetPebOffset() { OSVERSIONINFOEX osvi; ZeroMemory(&osvi, sizeof(OSVERSIONINFOEX)); osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX); GetVersionEx((OSVERSIONINFO*)&osvi); if (osvi.dwMajorVersion == 10) { return 0x60; // Windows 10/11 x64 } else if (osvi.dwMajorVersion == 6 && osvi.dwMinorVersion == 1) { return 0x30; // Windows 7 x64 } // 其他版本处理... }

掌握PEB_LDR_DATA的直接访问技术，不仅能让你深入理解Windows模块管理机制，还能在安全分析、逆向工程等场景中发挥关键作用。相比标准API，这种方法更灵活、更底层，也更能适应各种特殊需求。