SystemCrashDumpStateInformation加载驱动

最新推荐文章于 2021-12-21 23:25:19 发布
最新推荐文章于 2021-12-21 23:25:19 发布
阅读量781 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: 磁盘 crash windows 杀毒软件 hook system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2290107
版权

使用如下代码可将系统中的atapi.sys (如果你的机器磁盘PORT驱动是atapi.sys的话,如果是scsiport的话会有不同)加载到系统中。模块名为dump_atapi.sys(如果已配置了生成dump则无法生效)

HMODULE hlib = LoadLibrary("ntdll.dll");
PVOID p = GetProcAddress(hlib , "NtSetSystemInformation");
ULONG stat;
__asm
{
   push 0
   push 0
   push 0
   push 34

//SystemCrashDumpStateInformation
   call p
   mov   stat ,eax
}

代码非常简单,而且不需要任何额外权限,user权限也可以调用

结合替换或感染atapi.sys则可加载自己的驱动

不过,只能加载而已,加载完了系统会将加载的信息保存到IopDumpxxxx结构中,等到KeBugCheckEx调用IopWriteCrashDump时会调用到这个驱动

也就是说,实现攻击所要条件:

1.宿主机关闭了crash dump 选项(貌似很多机器都关闭了,尤其是XX优化版,XX美化版)

2.宿主机上存在引发bsod的驱动程序(很多杀毒软件、HIPS都有这样的设计缺陷)

这两点条件具备则可达成攻击。但其实还有一些细节要处理,例如,部分HIPS会报警写SYSTEM32下文件,因此我们需要直接通过磁盘读写该文件

另外,需要让原本不生成crashdump 的机器调用IopWriteCrashDump也是需要一定方法的

什么?你说不好利用?笨啊,好利用我还会放出来吗?

下面说说主要原理:

系统生成crash dump(崩溃转储)的当时其实并没有写入文件,而是实现在pagefile.sys中分配预留一块区域,将物理内存写入这块区域,等重启时再转储到文件中

之所以这么做,是因为WINDOWS不希望在转储时(BSOD时)使用文件系统相关功能,因为它可能已经被破坏了,而磁盘驱动其实也是可能被破坏的,因此WINDOWS在Config CrashDump时,将系统中的atapi.sys磁盘端口驱动备份了一份,以dump_xxxx.sys的方式加载,等到BSOD时调用此驱动来写入磁盘。

 

这个功能还可以帮助我们做另一件事,例如系统原始的atapi.sys可能被HOOK了,那么我们可以利用dump_atapi.sys来写磁盘

 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用CreateRemoteThread函数注入线程,使用NtCreateThreadEx函数注入线程,源代码包含C,C#的demo
用ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动
weixin_33989780的博客
06-29 512
//////////////////////////////////////// // New Deployment Module for rootkit 040 // ------------------------------------- // -Greg Hoglund http://www.rootkit.com /////////////////////////////...
ZWSetSystemInformation加载驱动
weixin_34389926的博客
03-29 279
zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. [cpp]view plaincopyprint? #include<...
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 519
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 1057
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1032
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
未公开函数 NtQuerySystemInfoMation 遍历进程信息,获得进程的用户名(如: system,Admin..)...
weixin_30367945的博客
05-05 505
目录 遍历进程用户名 代码例子 遍历进程用户名 代码例子 #include <windows.h> #include <iostream> #include <COMDEF.H> #include <stdio.h> #in...
驱动框架笔记
kernweak的博客
05-21 298
驱动框架 R3操作一个文件 create->read/write/deviceiocontrol->clean->close DIspatch分发函数存放在Driverobject的一个数组MajorFunction里。0x1b个,28个。用来接收应用层API请求。就是应用层的请求封装在一个IRP包,请求内核操作。 驱动有两个模型,NT模型和WDM模型。 NT模型 ...
Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 666
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
驱动加载监控
kernweak的博客
05-31 1512
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
Different ways to install kernel hooks under Windows NT based systems
12-21 1716
1. Via installing a standard device driverCalling the CreateService API with the service type parameter set to SERVICE_KERNEL_DRIVER makes the driver to be installed into the kernel. The Service Contr
Delphi加载驱动
weixin_34357962的博客
01-08 428
1 program Project2; 2 3 uses 4 Windows, Native, JwaWinType, Unit_Driver; 5 6 function Is2KXp(): Boolean; 7 var 8 OSVer: TOSVersionInfo; 9 begin 10 Result := False; 11 OSVer.dwOS...
02-NT驱动加载
HotIce0
12-21 2420
记录《Windows驱动开发技术详解》学习 一、如何加载编译好的NT驱动 1.1环境 系统版本:win10 1909 64位虚拟机 用到的工具为DriverMonitor(书中建议的工具) 查看已经加载驱动程的工具:winobj.exe 1.2 加载驱动 关闭windows驱动强制签名验证(如果是win10必须做这一步) 具体方法可以百度 按照书里面的打开DriverMonitor. 打开驱动文件 运行驱动程序 1.3 使用winobj.exe查看已经加载驱动程序 原书中.
hook api 保护进程
Delphizhou 的专栏
10-18 3996
hook api 保护进程 用过卡巴斯基的朋友都知道,卡巴斯基的进程是无法杀掉的,在任务管理器中杀卡巴进程的话,会弹出一个消息框提示拒绝访问!那么这是怎么实现的呢?很简单,就是使用了HOOK API的方法。兄弟门,做毒别做地根武汉那小子那么傻,有本事你也得搁着点,别去进局子!我用delphi来写程序好了,先写个dll。const  PRG_NAME = ddos.exe
Windows Error Reporting保存Crash Dump文件
空心芦苇的博客
05-19 5250
1、Crash Dump文件 Crash Dump(后缀名为:.dmp)文件是进程的内存镜像,可以把程序运行时的状态完整的保存下来,是调试异常程序重要的方法,所以程序崩溃时,除了日志文件,dump文件便成了我们查找错误的最后一根救命的稻草。   2、在Windows中使用Windows Error Reporting保存Crash Dump文件 产生Crash Dump文件的方法不
驱动加载监控x86
zhuhuibeishadiao
04-10 1108
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
Windows x64中加载驱动
fyfy
04-13 1331
http://bbs.pediy.com/thread-188472.htm  x64系统的强制数字签名以及PatchGuard一直阻碍着咱们研究64位驱动,因为加载不上,很是闹心,下面我就介绍给大家一些工具和手法,使得能够加载自己编写的驱动。     针对于Windows 7 x64系统,网上放出了破解补丁,打补丁后就能够加载,非常简单,不需要签名,顺带废除了PatchGuard。仅
windbg内核诊断方式--转载
weixin_30545285的博客
03-05 826
一、WinDbg是什么?它能做什么?   WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载: x86位版本下载:【微软官方安装版】 蓝屏Du...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值