LDR_DATA_TABLE_ENTRY

Собсно вопрос.
Что такое
LIST_ENTRY MemoryOrder;
и
LIST_ENTRY InitializationOrder;

Объясните плиз. С чем их есть ?

Это в ядре

 

Список модулей в порядке следования в памяти и в порядке инициализации соответственно.

 

Great
да это ясно. но в этих полях стоят я так понял смещения, на что они показывают ???

 

на структуры или следующие LIST_ENTRY

 

k3internal
Не смещения, а указатели на LIST_ENTRY для следующего LDR_DATA_TABLE_ENTRY

 

Это связанный список структур:

Код (Text):

1. typedef struct _LDR_DATA_TABLE_ENTRY {
2.     LIST_ENTRY InLoadOrderLinks;
3.     LIST_ENTRY InMemoryOrderLinks;
4.     LIST_ENTRY InInitializationOrderLinks;
5.     PVOID DllBase;
6.     PVOID EntryPoint;
7.     ULONG SizeOfImage;
8.     UNICODE_STRING FullDllName;
9.     UNICODE_STRING BaseDllName;
10.     ULONG Flags;
11.     USHORT LoadCount;
12.     USHORT TlsIndex;
13.     union {
14.         LIST_ENTRY HashLinks;
15.         struct {
16.             PVOID SectionPointer;
17.             ULONG CheckSum;
18.         };
19.     };
20.     ULONG   TimeDateStamp;
21. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

Вообще глянь https://forum.antichat.ru/thread28766.html. Правда я там писал про р3, но в р0 структура та же, насколько я помню.

 

Как из PROCESS_BASIC_INFORMATION добраться до LDR_DATA_TABLE_ENTRY ?

PROCESS_BASIC_INFORMATION->PebBaseAddress->...........->LDR_DATA_TABLE_ENTRY

 

Вроде нашёл
PebBaseAddress+0x0C->PEB_LDR_DATA
PEB_LDR_DATA+0x0C->LIST_ENTRY
LIST_ENTRY+0x04->LDR_DATA_TABLE_ENTRY

Единственно непонятно, нашёл такую оговорку: После LIST_ENTRY.BLink может находиться все что угодно
Всегда ли после BLink идет LDR_DATA_TABLE_ENTRY?
Или это зависит от билда и т.п.?

 

Что значит "в ядре"? Ты ядерные модули имеешь в виду или что? Для ядерных модулей эти списки невалидны, только InLoadOrderLinks.