一个小型的用于监视进程产生和撤销驱动逆向分析

最新推荐文章于 2021-02-14 15:17:15 发布
最新推荐文章于 2021-02-14 15:17:15 发布
阅读量1.6k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: object string null struct exe io
一个小型的用于监视进程产生和撤销驱动逆向分析



前两天,闪电狼兄给了一个Themida_1.0.0.5加壳的新版绝影凯旋vip1.65,
狼把它目录中一个驱动NTProcDrv.sys让偶分析分析,注意这不是Themida_1.0.0.5驱动,不过它也保护这Themida加壳的主程序.早前错认了!

由于偶是菜鸟加壳盲.只好"雾"里看花去捏裸笨的NTProcDrv.sys.

作者声明: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
由于我误解了狼兄错认它是Themida的驱动.错误改过来了!
西裤兄,不过代码全部是自己逆地.原来有开源的.



逆向一下:

1:设备对象自定义扩展结构体如下:
typedef struct _DeviceExtension {  
          ULONG size;         //0x0        
          PHANDLE EventHandle; //0x04
          PRKEVENT KernelEvent;   //+0x08
          HANDLE ParentId;     //+0x0C
          HANDLE ProcessId;   //+0x010
          ULONG IsCreate;     //+0x014
          } NTProcDrvDeviceExtension;

2:IRP_MJ_DEVICE_CONTROL中是点关键东东.

3:IoCreateNotificationEvent 建立事件通知与下面的回调和exe交互

4:PsSetCreateProcessNotifyRoutine 进程事件回调

由于偶是菜鸟加壳盲,不敢碰Themida_1.0.0.5加壳的EXE.只好找软肋逆.
代码如下:

//
//       *       NTProcDrv.sys         *    
//       *   be reversed by qiweixue[BCG]   *
//       *   CopyRight:http://www.pediy.com   *  
/

#include <ntddk.h>
#define NTProcDrv_IOCTL_METHOD_BUFFERED 0x22E000

typedef struct _DeviceExtension {  
          ULONG size;         //0x0        
          PHANDLE EventHandle; //0x04
          PRKEVENT KernelEvent;   //+0x08
          HANDLE ParentId;     //+0x0C
          HANDLE ProcessId;   //+0x010
          ULONG IsCreate;     //+0x014
          } NTProcDrvDeviceExtension;

         
VOID
NTProcDrvUnloadDriver(
  IN PDRIVER_OBJECT     DriverObject
  );
 
NTSTATUS  
NTProcDrvCreateClose(
  IN PDEVICE_OBJECT DeviceObject,
  IN PIRP Irp
  );
   
NTSTATUS
NTProcDeviceControl(
  IN PDEVICE_OBJECT DeviceObject,
  IN PIRP Irp
  );
   
VOID
NTProcDrvNotifyRoutine (
  IN HANDLE ParentId,
  IN HANDLE ProcessId,
  IN BOOLEAN Create
  );


UNICODE_STRING DeviceNameString;  
UNICODE_STRING LinkDeviceNameString;  
UNICODE_STRING EventDeviceNameString;
PDEVICE_OBJECT GloalDeviceObject;

NTSTATUS
DriverEntry(
  IN PDRIVER_OBJECT DriverObject,
  IN PUNICODE_STRING RegistryPath
  )

{
 
  HANDLE HEventHandle;
  PKEVENT PEnvent;
PDEVICE_OBJECT deviceObject = NULL;
NTSTATUS ntStatus;
NTProcDrvDeviceExtension     *DevExt=NULL;

RtlInitUnicodeString( &DeviceNameString,   L"//Device//NTProcDrv" );
RtlInitUnicodeString( &LinkDeviceNameString,L"//DosDevices//NTProcDrv");

ntStatus = IoCreateDevice(
          DriverObject,
          sizeof(NTProcDrvDeviceExtension),              
          &DeviceNameString,
          FILE_DEVICE_UNKNOWN,
          0,
          FALSE,
          &deviceObject );

  if (!NT_SUCCESS( ntStatus ))
  {

    return ntStatus;
  }

  ntStatus = IoCreateSymbolicLink(
          (PUNICODE_STRING) &LinkDeviceNameString,
          (PUNICODE_STRING) &DeviceNameString
          );

  if (!NT_SUCCESS(ntStatus))
  {
    IoDeleteDevice(deviceObject);
    return ntStatus;
  }
  GloalDeviceObject=deviceObject;
  DriverObject->DriverUnload =NTProcDrvUnloadDriver;
 
  DriverObject->MajorFunction[IRP_MJ_CREATE] = NTProcDrvCreateClose;
  DriverObject->MajorFunction[IRP_MJ_CLOSE] = NTProcDrvCreateClose;
  DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = NTProcDeviceControl;  
 
  RtlInitUnicodeString(&EventDeviceNameString,L"//BaseNamedObjects//NTProcDrvProcessEvent");
 
  PEnvent=IoCreateNotificationEvent(
                &EventDeviceNameString,
                DevExt->EventHandle
                );  
  DevExt=(NTProcDrvDeviceExtension*)(deviceObject->DeviceExtension);
  DevExt->KernelEvent=PEnvent;
  KeClearEvent(DevExt->KernelEvent);
 
  ntStatus= PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)NTProcDrvNotifyRoutine,0);
 
  return ntStatus;
}


void
NTProcDrvUnloadDriver(
  IN PDRIVER_OBJECT DriverObject
  )
{
  PDEVICE_OBJECT deviceObject = DriverObject->DeviceObject;
  IoDeleteSymbolicLink( &LinkDeviceNameString );
  if ( deviceObject != NULL )
  {
    IoDeleteDevice( deviceObject );
  }
}

NTSTATUS
NTProcDrvCreateClose(
  IN PDEVICE_OBJECT DeviceObject,
  IN PIRP Irp
  )  
{
  Irp->IoStatus.Status = STATUS_SUCCESS;  
  Irp->IoStatus.Information = 0;
  IoCompleteRequest( Irp, IO_NO_INCREMENT );
  return STATUS_SUCCESS;
}

NTSTATUS
NTProcDeviceControl(
  IN PDEVICE_OBJECT DeviceObject,
  IN PIRP Irp
  )
{  

  NTSTATUS ntStatus;
  ULONG   IoCtlCode;
  PIO_STACK_LOCATION IrpStack;
  ULONG           inBufLength;
  ULONG           outBufLength;
  PVOID           InOutBuf;
  NTProcDrvDeviceExtension     *DevExt=NULL;

  ntStatus=STATUS_UNSUCCESSFUL;
  IrpStack = IoGetCurrentIrpStackLocation(Irp);//+60
  outBufLength = IrpStack->Parameters.DeviceIoControl.OutputBufferLength;//+4
  inBufLength = IrpStack->Parameters.DeviceIoControl.InputBufferLength;//+8
  IoCtlCode =IrpStack->Parameters.DeviceIoControl.IoControlCode; //C
  InOutBuf = Irp->AssociatedIrp.SystemBuffer;  
  switch(IoCtlCode)
  {
 
  case NTProcDrv_IOCTL_METHOD_BUFFERED:

      if(outBufLength<0x0C)break;
      DevExt=(NTProcDrvDeviceExtension*)DeviceObject->DeviceExtension;
    *((PLONG)InOutBuf)=(ULONG) (DevExt->ParentId);
    *((PLONG)InOutBuf+1)=(ULONG)(DevExt->ProcessId);
    *((PLONG)InOutBuf+2)=(char)(DevExt->IsCreate);
      ntStatus=STATUS_SUCCESS;
  break;

default:
    Irp->IoStatus.Status = ntStatus;
    if(!NT_SUCCESS(ntStatus))
      {
      Irp->IoStatus.Information = outBufLength;
      }  
  Irp->IoStatus.Information = outBufLength;      
  }

  IofCompleteRequest(Irp,IO_NO_INCREMENT);
 
  return ntStatus;
}
 
void
NTProcDrvNotifyRoutine (
  IN HANDLE ParentId,
  IN HANDLE ProcessId,
  IN BOOLEAN Create
  )
{

  PDEVICE_OBJECT deviceObject=NULL;
  NTProcDrvDeviceExtension *DevExt=NULL;
  deviceObject=GloalDeviceObject;
DevExt=deviceObject->DeviceExtension;
  DevExt->ParentId=ParentId;
  DevExt->ProcessId=ProcessId;
  DevExt->IsCreate=(char)Create;
  KeSetEvent(DevExt->KernelEvent,0,0);
  KeClearEvent(DevExt->KernelEvent);
return ;
}
   
欢迎找bug.idb文件.c文件,源驱动都在附件中. 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一款强大的进程监视和管理软件
02-21
用途:对运行程序进行监视和管理 支持平台:Windows XP, Vista, Windows 7; Windows Server 2008, 2003 资费情况:完全免费 Process Explorer 是一款免费的增强型任务管理器。由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。 它能让使用者查看后台执行的处理程序,可以使用它方便地管理你的程序进程. 能监视,挂起,重启,强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马。除此之外,它还详尽地显示计算机信息: CPU,内存,I/O使用情况,可以显示一个程序调用了哪些动态链接库DLL,句柄,模块,系统进程. 以目录树的方式查看进程之间的归属关系。 新版增加了多项重要的增强功能,包括稳定性和性能改进、强大的过滤选项、修正的进程对话框等。
计算机操作系统 进程撤销源代码
01-30
本主题聚焦于"进程撤销"这一概念,这是一个关键的系统调用,用于在操作系统中结束或终止一个正在运行的进程进程撤销,也被称为进程终止,是指操作系统按照一定的策略停止某个进程的执行,回收其占用的系统资源,...
access驱动程序_华硕ASIO2.sys驱动程序逆向分析研究
weixin_39690972的博客
11-17 1087
我有个朋友买了一台新PC,然后他在GPU上安装了风扇,并将其连接到GPU板上的接头连接器上,不幸的是,在Linux上设置风扇速度似乎并不容易,风扇不旋转。在Windows上,可以使用ASUS GPU Tweak II。因此,我想将其逆向分析一下了解其工作原理。https://www.asus.com/supportonly/GPUTweak%20II/HelpDesk_Download看...
Rootkit Unhooker驱动逆向分析
06-24 1220
作 者: linxer时 间: 2008-06-19,00:31链 接: http://bbs.pediy.com/showthread.php?t=66839这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也
驱动逆向学习笔记
radicwei的专栏
08-31 1492
驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。 为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量 DriverObject+0x34  DriverUnload DriverObject+0x38  DeviceCreate DriverObject+0x40
PsSetCreateProcessNotifyRoutine妙用
热门推荐
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
进程撤销模拟试验
12-30
(1)理解进程撤销相关理论 (2)掌握进程撤销相关流程 操作系统进程创建撤销
操作系统及其进程和线程论文.doc
12-01
一个线程可以创立和撤销一个线程;同一个进程中的多个线程之间可以并发执行。相对进程而言,线程是一个更加接近于执行体的概念,它可以与同进程中的其他线程共享数据,但拥有自己的栈空间,拥有独立的执行序列。 ...
进程创建撤销调度管理实验
12-30
(1)理解磁盘调度相关理论 (2)加深对操作系统进程管理功能的理解 (3)培养编写复杂程序的能力
基于C++模拟操作系统的进程和资源管理【100012415】
最新发布
05-24
实验室提供的软硬件环境中,设计并实现一个基本的进程与资源管理器。该管理器能够完成进程的控制,如进程创建与撤销进程的状态转换;能够基于优先级调度算法完成进程的调度,模拟时钟中断,在同优先级进程中采用...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
搜狗1.65正式版
01-21
搜狗1.65正式版
监控进程启动退出
03-06
通过PsSetCreateProcessNotifyRoutine实现的一个简单的监控进程启动退出的功能
IoCreateNotificationEvent 中文翻译
juxua_xatu的专栏
03-01 1411
IoCreateNotificationEvent 该例程创建或者打开一个命名的通知事件用于通知一个或多个线程一个事件已经发生. PKEVENT  IoCreateNotificationEvent( IN PUNICODE_STRING EventName,   指向一个NULL结尾的UNICODE字符串,该字符串包含事件的名称 OUT PHANDLE EventHandle
64位内核开发第十二讲,进程监视,ring3跟ring0事件同步.
weixin_30315435的博客
06-09 281
一丶同步与互斥详解,以及实现一个进程监视软件. 1.用于线程同步的 KEVENT 事件很简单分别分为 事件状态. 以及事件类别. 事件状态: 有信号 Signaled 无信号 Non-signaled 事件类别 自动恢复 Synchronization 自动设置 不自动恢复. Notification 手动设置 事件的创建函数 ** IoCreateNotificationEvent() ** *...
应用程序与驱动程序交互函数DeviceIoControl详解
zz_strive_2012的专栏
12-20 2279
这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,然后调用DeviceIoControl函数,IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL(DeviceIoControl函数会产生此IRP),MinorFunction 为自己定义的控制码的IRP,系统就调用相应的处理IRP_MJ_DEVICE_CONTROL的派遣函数,你在派遣函数中判断Mi...
IRP结构
weixin_34192732的博客
12-27 222
图5-1显示了IRP的数据结构,阴影部分代表不透明域。下面是该结构中重要域的简要描述。 MdlAddress(PMDL)域指向一个内存描述符表(MDL),该表描述了一个 与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO,则I/O管理器为IRP_MJ_READ或 IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ_D...
windows 驱动开发基础(二)事件通知---关于irp处理,DPC,链表等
pureman_mega的博客
02-14 808
代码来源及参考:wdk 7,路径:C:\WinDDK\7600.16385.1\src\general\event 这个例子演示了两种关于当硬件事件发生时,驱动如何通知应用程序的方法。一种是基于event的,一种是基于IRP。但是样例驱动程序实际上没有与任何硬件通信,所以就通过 timer DPC 来模拟硬件事件。应用程序告诉驱动是通过设置event 信号还是完成 pending IRP 来通知自己,并给出一个相对的超时时限。 两种方法的处理流程: 1,基于event的方法 应用程序通过...
驱动程序与驱动程序交互事件对象
weixin_34195142的博客
08-13 273
最近看张帆的《windows驱动技术开发详解》,看了一些东西通过写一些Demo来加深理解,这里把自己学习的东西和写的Demo记录下来,如有不妥,还请批评指正。 8.5.5 驱动程序与驱动程序交互事件对象 当我们在Ring0与Ring0交互的时候,类似于Ring0A与RingB各自的派遣函数要同步则我们要在这两者之间进行交互事件对象。 这里的关键是,A与B的事件对象的问题,即如何让A获得B的事...
C语言驱动小型模拟操作系统设计与进程存储管理详解
进程管理部分,作者运用了C语言的数据结构,如指针和链表,来实现进程的创建和撤销功能。采用了时间片轮转调度算法,使得用户可以观察到进程从就绪态到运行态再到完成态的完整流程。这一部分充分展示了对操作系统...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值