验证驱动的调用者

最新推荐文章于 2021-04-29 10:03:10 发布
最新推荐文章于 2021-04-29 10:03:10 发布
阅读量136 收藏
点赞数

验证驱动的调用者

有很多驱动程序加载后,会在驱动程序入口函数DriverEntry中创建驱动设备,并创建符号链接,同时还会指定派遣例程。这样一来,所有用户态程序都可以通过DeviceIoControl函数,调用该驱动的派遣例程。即存在Ring3恶意调用Ring0驱动派遣例程的问题,对于这种调用Ring0程序应进行验证和过滤。

作为不够健壮的第三方驱动程序,更容易因为这种恶意调用被干扰,发生逻辑错误,甚至触发可能存在的内核漏洞。因此需要考虑驱动程序的通信对象和调用来源,在派遣例程中对此进行必要的安全验证和过滤。

验证和过滤的方法有很多,例如检查调用者进程的PEPROCESS,进程文件的MD5,等等。除此之外,还可以考虑用户态程序和驱动程序的通信加密,对于解密失败或非法通信数据的情况可以不予处理。

 

 bb

本文节选自《0day安全:软件漏洞分析技术(第2版)》一书。

图书详细信息:http://space.itpub.net/?uid-13164110-action-viewspace-itemid-701890

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/13164110/viewspace-701892/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/13164110/viewspace-701892/

congsi9417
关注
Linux——Linux驱动驱动模块传参数操作实践,可以用来实现项目中加载驱动校验,防止被恶意调用
数字世界 万物互联
10-09 501
【系列专栏】:博主结合工作实践输出的,解决实际问题的专栏,朋友们看过来! 《QT开发实战》 《嵌入式通用开发实战》 《嵌入式Linux开发实战》 长期持续带来更多案例与技术文章分享; 欢迎商业项目咨询,10年+软硬全栈内功,助力解决您的尊贵需求。 —————————————————————————————————— 目录 0 引言 1 驱动模块传参所用函数 2驱动模块传参代码实现 3 总结 0 引言 之前的博文中可见,我们运行应用程序时是可以直接传参数给应用...
Verifier.exe
weixin_34315189的博客
05-22 1299
驱动程序验证程序功能 可通过运行 Verifier.exe 并随后重新启动计算机来使用驱动程序验证程序。要开始分析系统中的驱动程序,您不需要进行其他任何更改。 驱动程序验证程序提供以下功能。 池分配 尝试从特殊池中分配一个驱动程序的所有池配额。此驱动程序的配额是由“拒绝访问”权限分离和限定,而不是与系统的其他部分共享池配额。此功能可以确定驱动程序的池配额是否超出了其应得的份额,进而导致...
编写安全的驱动程序之验证驱动调用者
云计算?
07-11 171
验证驱动调用者 有很多驱动程序加载后,会在驱动程序入口函数DriverEntry中创建驱动设备,并创建符号链接,同时还会指定派遣例程。这样一来,所有用户态程序都可以通过DeviceIoControl函数,调用该驱动的派遣例程。即存在Ring3恶意调用Ring0驱动派遣例程的问题,对于这种调用Ring0程序应进行验证和过滤。 作为不够健壮的第三方驱动程序,更容易因为这种恶意调用被干扰,发生逻辑错误...
QQProtect驱动调用者签名校验漏洞分析
gj333的专栏
10-15 2387
QQProtect驱动调用者签名校验漏洞分析       上次给大家带来一个“中级”的洞洞。或许大家感到有些失望,当然我也有些失望。由于时间过了快两个月,有些稍高点级别的漏洞可以放出来了。今天给大家带来一个“高级“的漏洞。即便如此,我确信有人还会失望的。因为仍然是”灰盒“的方法,而且是非内存破坏类型的。大牛们就飘过吧。          漏洞提交时候的原始资料如下(环境搭建,操作步骤的信息
如何防止驱动被恶意利用
weixin_33877885的博客
11-19 391
对于一个经常写程序的人来说,写驱动不是一件困难的事情。因为网络上有很多现成的 代码,要实现某个功能,直接 Ctrl+C和Ctrl+V 就能解决问题。但是写出来了驱动能不能加 载进入内核就是另外一回事了,准确的说是能不能存在于别人的硬盘上就是另外一回事了。 因为很多杀毒软件(特别像360这种没技术含量的)见到后缀名为sys的文件就直接删除, 甚至连调用NtLoadDri...
dd驱动级键盘模拟模块源码和调用例程(tgp登陆源码)
06-03
标题中的“dd驱动级键盘模拟模块源码和调用例程”指的是一个编程资源,它包含了一套用于在...然而,使用和修改这类代码需要一定的编程基础,特别是对Windows驱动开发的理解,因此对于初学者而言可能具有一定的挑战性。
C# 学习项目 学习要点:oracle驱动调用 ,页面展示
最新发布
04-05
在C#的学习过程中,Oracle数据库的驱动调用与页面展示是两个重要的技能点。Oracle驱动调用涉及到数据访问层的设计,而页面展示则关乎前端UI交互。以下将详细阐述这两个主题。 首先,Oracle驱动调用是指通过C#代码...
一则消费者驱动的契约测试细节全览
01-27
在消费者端,使用StubRunner插件可以调用Stub进行测试。如果需要从远程仓库获取Stub,可以在配置中指定。此外,契约测试应关注请求和响应的匹配,而不涉及业务逻辑的验证,后者应由功能测试或单元测试覆盖。 契约...
验证
02-13
为了确保代码质量,开发者可能会遵循TDD(测试驱动开发)原则,编写单元测试来覆盖验证逻辑,确保每个验证规则都能正确工作。 总的来说,JavaScript验证者是确保应用程序数据安全、提高用户体验和维护代码质量的...
FT2232驱动,ft2232驱动安装方法,C,C++
09-10
4. 驱动测试:安装完成后,可以使用FTDI的官方工具,如FT_Prog或者第三方软件,如RealTerm、Putty等,来验证驱动是否正常工作。尝试发送和接收数据,确保通信无误。 对于C和C++开发者来说,FT2232驱动提供了API函数...
驱动程序调测方法与技巧
生活=研发;
09-06 2170
驱动程序开发的一个重大难点就是不易调试。本文目的就是介绍驱动开发中常用的几种直接和间接的调试手段,它们是: 利用printk 查看OOP消息 利用strace 利用内核内置的hacking选项 利用ioctl方法 利用/proc 文件系统 使用kgdb 一、利用prin
内核驱动程序中获取当前用户进程的进程名的方法
坦然
08-13 3303
驱动程序的加载函数DriverEntry是运行在System进程中的.通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址,然后从该地址开始寻找"System"字符串.找到后,便是EPROCESS的进程名存放的偏移处.得到进程名在EPROCESS结构的偏移后,以后的进程调用驱动的时候,就可以直接在该偏移处获取当前进程名.代码如下: DWORD Get
24、WDK在两项驱动程序间或一项 I/O 驱动程序内检测到协议错误
ljymoonlight的专栏
05-31 970
调试Xilinx 提供的驱动程序出现 。 不知道什么原因,先记录下来,再一步步撸 。
调用者权限过程的权限问题
cjc198811的博客
04-24 212
首先描述一下当时我碰到的问题:我写了一个存储过程,要在其中使用DBMS_METADATA过程获取另一个用户的某对象的定义。[@more@]SQL> CREATE OR REPLACE PROCEDURE P_TEST AS...
linux驱动被哪些进程使用,Linux驱动程序开发的经验总结
weixin_30514003的博客
04-29 759
在尝试编写一些驱动模块时,其中就是遇到一些编译错误之类的,一种错误有很多种原因,总结下我遇到的一些问题,供你们参考:1.编写一个内核程序spinlock.c:#include #include #include #include #include MODULE_LICENSE(“GPL”);#define MAJOR_NUM 224static ssize_t simplespin_read(st...
linux驱动被哪些进程使用,linux中驱动异步通知应用程序的方法
weixin_33849892的博客
04-29 340
驱动程序运行在内核空间中,应用程序运行在用户空间中,两者是不能直接通信的。但在实际应用中,在设备已经准备好的时候,我们希望通知用户程序设备已经ok,用户程序可以读取了,这样应用程序就不需要一直查询该设备的状态,从而节约了资源,这就是异步通知。好,那下一个问题就来了,这个过程如何实现呢?简单,两方面的工作。一 驱动方面:1. 在设备抽象的数据结构中增加一个struct fasync_struct的指...
linux驱动加载命令和驱动模块信息查看
热门推荐
techtitan的专栏
01-26 5万+
驱动操作命令:      insmod / modprobe 加载驱动      rmmod                     卸载驱动      lsmod                       查看系统中所有已经被加载了的所有的模块以及模块间的依赖关系      modinfo                    获得模块的信息查看模块
Linux设备驱动漏洞检测:配对函数调用场景方法
为了验证这种方法的有效性,研究者进行了实验,选取了不同类型的设备驱动程序进行测试,并记录了漏报率、误报率和覆盖度。实验结果显示,该方法具有高精度和快速的检测速度,且其效果不受实时编译或硬件设备的限制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值