SSDT上hook NtSetSystemInformation NtLoadDriver,可以拦截应用层装载驱动的操作.如果怕不保险,还可以PsSetLoadImageNotifyRoutine或者hook NtCreateSection。但是常规通过服务API加载驱动时却不能找到加载驱动的源程序,PsGetCurrentProcess程序已经是services.exe了.
原因是StartService这个API将服务的相关信息发送给了services.exe,services.exe内部统一管理注册表中的服务信息数据,其中就包括启动一个驱动服务。想要拦截这个操作需要拦截发送消息的Native API,就是进程间通信机制LPC相关的api。
看了几个开源主防都没有怎么去处理,有人直接先在LoadImageNotifyRoutine里面记录加载最后一个advapi.dll的进程,然后在NtLoadDriver里面判断当前进程如果是services.exe就直接替换成LastLoadAdvapiProcess。
查了点资料,都说的不是太细,自己研究了下,Only 4 XP。
一.服务加载驱动代码
SC_HANDLE hScm = OpenSCManager(NULL,NULL, SC_MANAGER_ALL_ACCESS);
m_hServices =::OpenService(hScm,RM_SERV_NAME, SERVICE_ALL_ACCESS);
if (m_hServices== NULL)
{
m_hServices = CreateService(…);
if(!m_hServices) return FALSE;
}
if(!StartService(m_hServices,0,0))
……
拦截的时候主要就是上面三个API
二.Service.exe的数据结构和基本流程
SC_HANDLE 有三种: