本文探讨了如何通过hook NtSetSystemInformation、NtLoadDriver以及LPC API来拦截服务加载驱动,特别是在StartService API下,分析了服务在XP系统中的加载流程,涉及SC_HANDLE_STRUCT、ServiceRecord List等数据结构。通过解析LPC通信中的RequestMessage结构获取服务信息,实现了对服务启动的监控。
SSDT上hook NtSetSystemInformation NtLoadDriver,可以拦截应用层装载驱动的操作.如果怕不保险,还可以PsSetLoadImageNotifyRoutine或者hook NtCreateSection。但是常规通过服务API加载驱动时却不能找到加载驱动的源程序,PsGetCurrentProcess程序已经是services.exe了.
原因是StartService这个API将服务的相关信息发送给了services.exe,services.exe内部统一管理注册表中的服务信息数据,其中就包括启动一个驱动服务。想要拦截这个操作需要拦截发送消息的Native API,就是进程间通信机制LPC相关的api。
看了几个开源主防都没有怎么去处理,有人直接先在LoadImageNotifyRoutine里面记录加载最后一个advapi.dll的进程,然后在NtLoadDriver里面判断当前进程如果是services.exe就直接替换成LastLoadAdvapiProcess。
查了点资料,都说的不是太细,自己研究了下,Only 4 XP。
一.服务加载驱动代码
SC_HANDLE hScm = OpenSCManager(NULL,NULL, SC_MANAGER_ALL_ACCESS);
m_hServices =::OpenService(hScm,RM_SERV_NAME, SERVICE_ALL_ACCESS);
if (m_hServices== NULL)
{
m_hServices = CreateService(…);
if(!m_hServices) return FALSE;
}
if(!StartService(m_hServices,0,0))
……拦截的时候主要就是上面三个API
二.Service.exe的数据结构和基本流程
SC_HANDLE 有三种:
最低0.47元/天 解锁文章
扫一扫
70万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
