x86重载内核[源码在最后]

已于 2023-04-24 14:19:58 修改
阅读量699 收藏 1
点赞数
文章标签: c语言 驱动开发
于 2023-04-15 12:29:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deadpoolwilson12/article/details/130168309
版权

X86重载内核

测试系统:WinXp, 环境:vs2017

内核重载

一、内核重载简述

涉及PE文件,驱动程序编写, 对X86内核的了解
内核重载其实就是让所有的SSDT函数全部走自己写入的一块新内核

内核重载不是什么高端技术,但对于学习驱动编程的新手而言,还是有学习参考价值的

二、实现步骤(部分代码)

1.打开内核文件存为buffer,拉伸PE,修重定向表,IAT表

​
NTSTATUS LoadNtkrnlpa() 
{
   
	NTSTATUS						status = STATUS_SUCCESS;
	HANDLE							hFile = NULL;
	OBJECT_ATTRIBUTES				objAttr;
	IO_STATUS_BLOCK					ioBlock;
	UNICODE_STRING					FileName;
	FILE_STANDARD_INFORMATION		FileInfo;
	LARGE_INTEGER					Lageint; // 读取位置offset

	RtlInitUnicodeString(&FileName, FILEPATH);
	InitializeObjectAttributes(&objAttr, &FileName, OBJ_CASE_INSENSITIVE, NULL, NULL);

	status = ZwOpenFile(&hFile, FILE_ALL_ACCESS, &objAttr, &ioBlock, 0, FILE_NON_DIRECTORY_FILE);
	if (!NT_SUCCESS(status))
	{
   
		DbgPrint("ZwOpenFile Failed!, status:%d\n", status);
		return STATUS_UNSUCCESSFUL;
	}

	status = ZwQueryInformationFile(hFile, &ioBlock, &FileInfo, sizeof(FILE_STANDARD_INFORMATION), FileStandardInformation);
	if (!NT_SUCCESS(status))
	{
   
		ZwClose(hFile);
		DbgPrint("ZwQueryInformationFile Failed!\n");
		return STATUS_UNSUCCESSFUL;
	}
	FileSize = FileInfo.EndOfFile.LowPart;
	pFileBuffer = ExAllocatePool(NonPagedPool, FileSize);

	Lageint.QuadPart = 0;
	status = ZwReadFile(hFile, NULL, NULL, NULL, &ioBlock, pFileBuffer, FileSize, &Lageint, NULL);
	if (!NT_SUCCESS(status))
	{
   
		ZwClose(hFile);
		DbgPrint("ZwReadFile Failed!\n");
		return STATUS_UNSUCCESSFUL;
	}

	ZwClose(hFile);
	// 读取PE信息
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
   
		ExFreePool(pFileBuffer);
		pFileBuffer = NUL
最低0.47元/天 解锁文章
及时雨先森
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1271
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
X86内核重载.rar
06-05
在计算机科学领域,X86内核重载是一项高级技术,涉及到操作系统内部的工作机制。本文将深入探讨这一主题,特别是如何实现一个类似Windows PELoader的功能,以及重载的含义和实际操作。 首先,我们要明白X86架构。...
重载内核全程分析笔记
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的码发布出来,然后是EasyDebugger的码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
内核重载易语言码(含C驱动码).rar
01-25
内核重载易语言码(含C驱动码)
内核重载的认识
weixin_41725706的博客
12-03 335
内核重载得认识
内核_有用1
fyfy
04-11 236
ShellCode欺骗的艺术! 网上看到一份ShellCode  非常NICE  ,用来抛砖引玉! sub sp,0x440 xor ebx,ebx push ebx push 0x74736577 push 0x6c696166 mov eax,esp push ebx push eax push eax push ebx mov e... http://blog.csdn.ne
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8365
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核
内核重载_hospitalb3n_内核重载_x86内核重载_
09-30
在本文中,我们将深入探讨x86内核重载的相关知识点,包括内核的基本结构、重载的动机、过程以及涉及的关键技术。 首先,我们需要理解内核在操作系统中的地位。内核是操作系统的核心部分,它负责管理系统的硬件资...
linux2.6内核
11-02
Linux 2.6.38 内核码是学习操作系统内核原理和技术的重要资,对于程序员、系统管理员以及对底层技术感兴趣的爱好者来说,它是深入理解Linux操作系统的桥梁。这个版本的内核包含了大量用于驱动硬件、管理内存、...
Linux-2.6.11内核
01-22
在Linux-2.6.11内核码中,我们可以深入理解以下关键知识点: 1. **进程管理**:Linux内核使用调度器来管理进程的执行,2.6.11内核引入了O(1)调度器,它提高了多处理器环境下的调度效率。你可以研究`kernel/sched....
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载内核重载后指定某个程序使用你重载内核,可以绕过原有内核上面的所有hook
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
01-27
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
重载内核全程分析笔记(附码)
08-28
重载内核全程分析笔记(附码) 还记得七夕的那几天,老V率先把AGP的码发布出来,然后是EasyDebugger的码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
ReloadKernel(重载内核全程分析)
02-25
重载内核内容: 1、 将内核文件加载到内存 2、 进行基址重定位 3、 重定位ssdt结构 4、 Hook KiFastCallEntry,让RING3进程调用走新内核
X86驱动注入码-易语言
06-11
"X86驱动注入码-易语言"这个主题,显然指的是使用易语言(一种流行的中文编程语言)编写的一段代码,专门设计用于在X86架构的操作系统中实现驱动注入功能。 驱动注入通常涉及到以下几个关键知识点: 1. **驱动...
win10驱动开发8——内核重载new/delete关键字
qq_41610493的博客
11-30 554
内部重载 new 和delete 关键字在驱动里面是不可以使用,通过重载的方式即可在内核中使用 #include <ntddk.h> class Myclass { public: Myclass() { KdPrint(("构造函数\n")); } ~Myclass() { KdPrint(("析构函数\n")); } void * _cdecl operator new (size_t size,POOL_TYPE poolType= PagedPool)
驱动-内核重载
chengtoreal的博客
03-13 455
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
1.ring0-内核重载详解(NTOS)
热门推荐
hgy413的专栏
08-07 2万+
1.取得NTOS原始的地址: 这个可以通过遍历系统模块,找到第一个被加载的模块(NTOS),获得NTOS的路径,基地址,大小: 基本思路为: 1.1 ZwQuerySystemInformation查询到所有模块 1.2 获得NTOS的路径,基地址,大小 代码如下: NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,
重载内核实现绕过一切钩子
weixin_30390075的博客
09-09 414
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为要不停的在文件地址和内存地址之间进行转换,因此代码繁琐不易读懂。 我在考虑解放方案的时...
俞强-Bochs项目码分析与注释
最新发布
11-01
"这篇文章是关于Bochs项目的码分析与注释,由喻强撰写,主要探讨了x86体系结构、Bochs工程概述、CPU类的码分析以及CPU中断处理任务管理等内容。Bochs是一个用C++编写的开IA-32架构PC模拟器,能够模拟Intel x86...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值