驱动开发 借壳通信

最新推荐文章于 2023-04-11 20:27:38 发布
最新推荐文章于 2023-04-11 20:27:38 发布
阅读量252 收藏 1
点赞数
分类专栏: Windows 驱动 逆向 文章标签: 操作系统 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasys/article/details/116604896
版权
驱动 同时被 3 个专栏收录
30 篇文章 5 订阅
订阅专栏
逆向
30 篇文章 4 订阅
订阅专栏
Windows
7 篇文章 2 订阅
订阅专栏

Ring3

#include <stdio.h>
#include <windows.h>

#define LINK_NAME L"\\\\.\\ndis"

//控制码起始地址
#define  IRP_IOCTRL_BASE 0x8000
//控制码宏定义
#define IRP_IOCTRL_CODE(i) CTL_CODE(FILE_DEVICE_UNKNOWN,IRP_IOCTRL_BASE + i,METHOD_BUFFERED,FILE_ALL_ACCESS)
//控制码定义
#define CTL_PRINT IRP_IOCTRL_CODE(0)
int main()
{
	HANDLE hDeviceHandle = CreateFile(LINK_NAME, GENERIC_ALL,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
	if (hDeviceHandle == INVALID_HANDLE_VALUE)
	{
		printf("ERROR:%d\n",GetLastError());
		system("pause");
		return 0;
	}
	
	//IRP_MJ_DEVICE_CONTROL
	while (1)
	{
		char InputBuffer[MAX_PATH] = { 0 };
		char OutBuffer[MAX_PATH] = { 0 };
		ULONG uRet = 0;
		printf("输入字符串");
		scanf("%s", InputBuffer);
		DeviceIoControl(hDeviceHandle, CTL_PRINT, InputBuffer, sizeof(InputBuffer), OutBuffer, sizeof(OutBuffer), &uRet, NULL);
		printf("Return %d bytes!\n", uRet);
		printf("Return Buffer:%s\n", OutBuffer);
	}
	CloseHandle(hDeviceHandle);
	
	system("pause");
	return 0;

Ring0

#include <ntifs.h>

#define DRIVER_NAME L"\\Driver\\NDIS"

//控制码起始地址
#define  IRP_IOCTRL_BASE 0x8000
//控制码宏定义
#define IRP_IOCTRL_CODE(i) CTL_CODE(FILE_DEVICE_UNKNOWN,IRP_IOCTRL_BASE + i,METHOD_BUFFERED,FILE_ALL_ACCESS)
//控制码定义
#define CTL_PRINT IRP_IOCTRL_CODE(0)


//保存原始的处理函数
PDRIVER_DISPATCH OldDriverObject;

//设备类型
//extern POBJECT_TYPE IoDeviceObjectType;

extern POBJECT_TYPE *IoDriverObjectType;
extern NTSTATUS ObReferenceObjectByName(
	IN PUNICODE_STRING ObjectPath,
	IN ULONG Attributes,
	IN PACCESS_STATE PassedAccessState OPTIONAL,
	IN ACCESS_MASK DesiredAccess OPTIONAL,
	IN POBJECT_TYPE ObjectType,
	IN KPROCESSOR_MODE AccessMode,
	IN OUT PVOID ParseContext OPTIONAL,
	OUT PVOID *ObjectPtr
);

//IRP派遣函数-控制
NTSTATUS DispatchIoCtrl(PDEVICE_OBJECT DeviceObject, PIRP pIrp)
{
	//控制码
	ULONG uIoCode = 0;
	//输入缓冲区
	PVOID pInputBuffer = NULL;
	//输出缓冲区
	PVOID pOutPutBuffer = NULL;
	//获取输入缓冲区长度
	ULONG uInputBufferLenth = 0;
	//栈结构指针
	PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(pIrp);
	//获取缓冲区
	pInputBuffer = pOutPutBuffer = pIrp->AssociatedIrp.SystemBuffer;
	//获取缓冲区长度
	uInputBufferLenth = pStack->Parameters.DeviceIoControl.InputBufferLength;
	//获取控制码
	uIoCode = pStack->Parameters.DeviceIoControl.IoControlCode;
	//按照控制码进行分发
	switch (uIoCode)
	{
	case CTL_PRINT:
	{
		DbgPrint("%s", pInputBuffer);
		//初始化缓冲区内存
		RtlZeroMemory(pOutPutBuffer, 256);
		//
		ULONG uStrLenth = strlen("Io Success!Mikasys!!!");
		RtlCopyMemory(pOutPutBuffer, "Io Success!Mikasys!!!", uStrLenth);

		//设置IRP处理成功
		pIrp->IoStatus.Status = STATUS_SUCCESS;
		//设置返回的字节数
		pIrp->IoStatus.Information = uStrLenth;
		//结束IRP处理流程
		IoCompleteRequest(pIrp, IO_NO_INCREMENT);
		//返回
		return STATUS_SUCCESS;
	}
	}
	if (pIrp->IoStatus.Status)
	{
		IoCompleteRequest(pIrp, 0);
		return OldDriverObject(DeviceObject, pIrp);
	}
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	//创建设备名称
	
	UNICODE_STRING uDriverName = { 0 };
	//初始化
	RtlInitUnicodeString(&uDriverName, DRIVER_NAME);
	//驱动对象
	PDRIVER_OBJECT pOthersDriver = NULL;
	//获取驱动对象-借壳通信
	NTSTATUS ntStatus = ObReferenceObjectByName(&uDriverName, OBJ_CASE_INSENSITIVE, NULL, FILE_ALL_ACCESS, *IoDriverObjectType, KernelMode, NULL, &pOthersDriver);
	if (!NT_SUCCESS(ntStatus))
	{
		DbgPrint("%X", ntStatus);
		return;
	}
//	pOthersDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = OldDriverObject;
	
	DbgPrint("卸载成功!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	UNREFERENCED_PARAMETER(pRegPath);
	pDriver->DriverUnload = DriverUnload;
	//创建设备名称和符号链接名称
	UNICODE_STRING uDriverName = { 0 };
	//初始化
	RtlInitUnicodeString(&uDriverName, DRIVER_NAME);
	//驱动对象
	PDRIVER_OBJECT pDriverObject = NULL;
	NTSTATUS ntStatus = 0;	
	//获取驱动对象-借壳通信
	ntStatus = ObReferenceObjectByName(&uDriverName, OBJ_CASE_INSENSITIVE, NULL, FILE_ALL_ACCESS, *IoDriverObjectType, KernelMode, NULL, &pDriverObject);

	if (!NT_SUCCESS(ntStatus))
	{
		DbgPrint("%X", ntStatus);
		return STATUS_SUCCESS;
	}
	if (!pDriverObject)
	{
		DbgPrint("%X", pDriverObject);
		ObDereferenceObject(pDriverObject);
		return STATUS_SUCCESS;
	}
	
	OldDriverObject = pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL];
	pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoCtrl;
	
	//加载成功
	DbgPrint("Driver Load SuccessN!");
	
	return STATUS_SUCCESS;
}
Mikasys
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NT驱动框架及主要函数、宏
zyorz的博客
05-08 1259
主要函数DriverEntry和DriverUnload在单线程环境运行,处于System进程上下文。IRP分发函数DispatchCreate()对应IRP_MJ_CREATE DispatchRead()对应IRP_MJ_READ DispatchWrite()对应IRP_MJ_WRITE DispatchControl()对应IRP_MJ_DEVICE_CONTROLDispatchCl
4.PEB断链隐藏模块
Mikasys的博客
10-25 1489
0x4 PEB断链隐藏模块 1.如何找到_PEB_LDR_DATA 由_TEB找到_PEB,_PEB偏移0xC找到_PEB_LDR_DATA typedef struct _PEB_LDR_DATA { ULONG Length; // +0x00 BOOLEAN Initialized; // +0x04 PVOID SsHandle; // +0x08 LIST_ENTRY InLoadOrderModuleList; // +0x0c 加载顺序 LIST_ENTRY InMemoryO
Windows 驱动开发借壳通信技术实践详解
最新发布
qq_40363731的博客
04-11 226
本文详细介绍了 Windows 驱动开发借壳通信技术,通过示例代码展示了如何使用 ObReferenceObjectByName 函数实现借壳通信以及如何处理 IRP 控制请求。同时,我们回答了关于驱动对象类型、保存原有处理函数以及处理 IRP 控制请求的问题。希望本文能够帮助您更好地理解和应用借壳通信技术。
实现驱动最早启动
qq_41490873的博客
08-21 755
内核驱动加载顺序 内核驱动是分组的,系统启动时是根据组来加载的. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 这个注册表项记录了组的启动顺序,可以从下图看出最早启动的组是System Reserved HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList 此注册表项记录了每一个组内不同服务的启动顺序 要让我们的驱动实现最早启动,
Win7上函数ObReferenceObjectByName返回失败的问题解决
Ghjhfssfgk的博客
04-08 422
//IoDriverObjectType实际上是一个全局变量,但是头文件没有,声明之后可以使用 //extern POBJECT_TYPE IoDriverObjectType; extern POBJECT_TYPE *IoDriverObjectType; //这里是重点 win7的Io驱动设备类型指针改成指针的指针了 status = ObReferenceObjectByName(...
搜房网借壳万里股份.pdf
07-16
搜房网借壳万里股份
WDM驱动开发光盘源代码.zip
01-28
通过这些文件,开发者可以全面学习到WDM驱动开发流程,包括驱动注册、设备管理、断处理、I/O请求队列的管理、设备枚举、用户模式与内核模式的通信等核心知识点。此外,还可以了解到如何编写和调试驱动程序,以及...
借壳上市案例研究.pdf
09-15
"借壳上市案例研究.pdf" 【标题】:"借壳上市案例研究.pdf" 的“借壳上市”是指一种特殊的上市方式,即通过收购或控股已经上市的公司,利用其股票代码和上市地位,达到快速上市的目的。这种方式可以绕过传统的 IPO...
借壳上市的途径、估值与案例分析.ppt
07-16
借壳上市的途径、估值与案例分析
新三板借壳上市操作方法及案例详解.docx
04-27
新三板借壳上市操作方法及案例详解 导读:本文以案例方式详细说明企业借壳上市的具体操作方法、法律、税收等相关事项,可以作为企业上市参考、借鉴。  一、企业借壳上市主要有以下四方面流程:  (一)准备阶段  ...
7.HOOK NtTerminateProcess驱动保护进程
Mikasys的博客
11-04 1482
1、项目说明 将系统服务表某个函数改成自己的函数,使任务管理器右键无法关闭自己,只有点击自己的关闭按钮才可以正常关闭。 2、获取目标进程的进程名 kd> dt _Eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime
进程线程 1.EPROCESS和进程隐藏
Mikasys的博客
11-05 1382
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
2. ETHREAD和线程断链
Mikasys的博客
11-07 1130
一、ETHREAD结构体 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos 2, 1 Bit +0x1c8 ExitTime : _LARGE_INTEGER +0x1c8 LpcRepl
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1121
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
8.FindWindow(SSDT Shadow HOOK)
Mikasys的博客
11-05 896
待更。。
系统调用 1.API函数的调用过程(3环进0环)
Mikasys的博客
11-02 894
1.API函数的调用过程(3环进0环) 一、Windows API Application Programming Interface,简称 API 函数。 Windows有多少个API? 主要是存放在 C:\WINDOWS\system32 下面所有的dll 几个重要的DLL Kernel32.dll:最核心的功能模块,比如管理内存、进程和线程相关的函数等. User32.dll:是Windows用户界面相关应用程序接口,如创建窗口和发送消息等. GDI32.dll:全称是Graphical
9.写拷贝
Mikasys的博客
10-31 876
0x9 写拷贝(WriteCopy) 一、什么是写拷贝? HOOK了这个Dll某个函数,其他进程受影响吗? 答:不受影响!因为有写拷贝! 写拷贝由操作系统执行 二、低2G的VAD二叉树(记录了哪些线性地址被占用或被占用) 使用命令查看vad的地址 level //二叉树的级别 start //因为单位为4KB,再加3个0即为真正线性地址 commit //若为Private(VirtualAlloc申请)为私有,自己独享 READWRITE //可读可写 READONLY //只读
1.驱动环境配置(vs2010+WDK7600)
Mikasys的博客
10-19 850
0x1 驱动开发环境配置(VS2010+WDK7600) 一、安装VS2010和WDK7600 vs2010下载链接,安装路径可以自己选,安装包什么的默认就好了,空间实在不够可以把sql那个选项取消 WDK7600链接,安装路径自己选,默认安装就好了 二、配置驱动环境 首先建立一个空项目 打开配置管理器新建一个,从Debug处复制 添加一个项目属性表 将DriverProperty.props文件里的内容换成以下内容 <?xml version="1.0" encoding="utf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值