搜素隐藏驱动的一个BSOD问题

最新推荐文章于 2021-02-20 18:42:54 发布
最新推荐文章于 2021-02-20 18:42:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: module null thread struct file 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3086671
版权
 

以前没做过,所以尝试一下,摸索中BSOD了N久, 今天终于有时间调试驱动,于是花了2个小时解决掉了.

细节问题总结下,以警示自己:
   1. 犯下了一个低级错误,导致在内存访问上出问题,在那个Lib封装函数中,把计数i调整成局部变量即可.
   2. 发IOCTL中,拷贝数据时分配的内存不够导致出现乱码
   3. 驱动中代码流程要明晰,容错处理要强大,以便即时发现出错代码,跟进调试

VOID
Thread_SearchHiddenSys (
     IN PVOID StartContext
     )
{
    ULONG i;
   
    // 初始化信息,分配内存
     g_Event_SearchHiddenSys = ExAllocatePool( NonPagedPool, sizeof(KEVENT) );
     g_Event_SearchHiddenSys_completed = ExAllocatePool( NonPagedPool, sizeof(KEVENT) );
     psudami = (PMODULE_INFOR)ExAllocatePoolWithTag( NonPagedPool, 300*sizeof(MODULE_INFOR),'suda' );

     KeInitializeEvent(g_Event_SearchHiddenSys, NotificationEvent, FALSE);
     KeInitializeEvent(g_Event_SearchHiddenSys_completed, NotificationEvent, FALSE);
    memset( (PVOID)psudami, 0, 150*sizeof(MODULE_INFOR) );


    // 若申请内存失败,则退出系统进程
    if ( !g_Event_SearchHiddenSys || !g_Event_SearchHiddenSys_completed /*|| !psudami*/ ) {

         ExFreePool( g_Event_SearchHiddenSys );     
         ExFreePool( g_Event_SearchHiddenSys_completed );

        if ( psudami ) {
             ExFreePool(psudami) ;
         }

         DbgPrint("SearchHidenSys - ExAllocatePool(g_Event_SearchHiddenSys) failed/n");
         PsTerminateSystemThread( STATUS_SUCCESS );
     }


    while (TRUE) {

        // 系统线程结束时要清理申请的内存
        if ( FALSE == g_bRepeat_SearchHiddenSys ) {
             DbgPrint("SearchHidenSys - Terminate Our Thread");

             ExFreePool( g_Event_SearchHiddenSys );
             ExFreePool( g_Event_SearchHiddenSys_completed );

            if ( psudami ) {
                 ExFreePool(psudami) ;
             }

             PsTerminateSystemThread( STATUS_SUCCESS );
         }

        // 循环一次,便重新设置EVENT为"未受信"状态.让线程等待激活
         KeClearEvent( g_Event_SearchHiddenSys );
         KeClearEvent( g_Event_SearchHiddenSys_completed );

    //     DbgPrint("SearchHidenSys - I'm Waiting.../n");
        // 等待事件,一直到"受信"状态
         KeWaitForSingleObject( g_Event_SearchHiddenSys, Executive,
             KernelMode, FALSE, NULL );

        if ( NULL == psudami ) {
             DbgPrint("SearchHidenSys - ExAllocatePoolWithTag Failed/n");
         } else {
            memset( (PVOID)psudami, 0, 300*sizeof(MODULE_INFOR) );
             SearchHidenSys( psudami, 0 ) ;

        //     DbgPrint("SearchHidenSys - Already done/n");
             KeSetEvent( g_Event_SearchHiddenSys_completed, 0, FALSE ); // 设置为“受信”状态,唤醒等待者
         }
     }
}

现在越来越喜欢把常用函数封装到Lib里面,再供其他模块频繁调用了,于是把这个小模块的功能封装成了LIB,我的头文件格式是这样写的,贴一下, 方便诸位参考,具体代码可参见Debugman上MJ发的搜索隐藏驱动的Demo,无壳无花,拖到IDA中就是code了,然后自己整合下,就可用于自己的程序啦:

#ifndef _MSKQ_H
#define _MSKQ_H 1

#include <ntddk.h>

#ifdef __cplusplus
extern "C" {
#endif


/

typedef struct _MODULE_INFOR {
  CHAR   ImageName[255] ;  // 模块全路径
  PVOID   Base ;            // 模块基址
  ULONG   Size ;            // 模块大小
  BOOL   bIsHiden ;        // 是否是隐藏模块
} MODULE_INFOR, *PMODULE_INFOR;


;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
VOID SearchHidenSys(
   PMODULE_INFOR pModuleInfor,
  BOOL bPrintAll
   );
/*++

Author: sudami [sudami@163.com]
Time   : 2008/09/16 [16:9:2008 - 21:26]

Routine Description:
     lib调用接口,负责搜索内核空间,寻找尽可能多的PE特征,让你抹掉了也可以找到隐藏的驱动. 其他模块调用此函数时:

     // 调用语句
     PMODULE_INFOR psudami ;

     psudami = (PMODULE_INFOR)ExAllocatePoolWithTag(0,200*sizeof(MODULE_INFOR),'suda');
     if ( NULL == psudami ) {
       DbgPrint("SearchHidenSys - ExAllocatePoolWithTag Failed/n");
     } else {
       SearchHidenSys( psudami, TRUE ) ;
     }

       // 驱动卸载时必须释放申请的内存:
     if ( psudami ) {
       ExFreePool(psudami) ;
     }
  
   这个Lib主要把信息收集起来,其他模块调用完后,可传到R3,显示出来
    
Arguments:

     pModuleInfor - [IN][OUT] 传进来的结构体指针,负责存储模块信息(ImageName, Base, Size)

   bPrintAll - [IN] 是否打印出查找到的信息

Return Value:

--*/

/


#ifdef __cplusplus
}
#endif

#endif

///    END OF FILE    ///

另外,明天是自己入职某公司进行实习的第一天,该好好表现了...

----------------------------------------------

PS: 相关链接请参考这里:

VXK:有关驱动隐藏的一点事情
http://www.debugman.com/read.php?tid=1993&page=e&#a
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动级进程保护 隐藏 注入
08-04
1. HideToolz.exe:这可能是一个工具的可执行文件,根据标题和描述,它可能是一个用于驱动级进程保护和隐藏注入的工具,可能具有隐藏自身、保护系统进程以及防止恶意注入的功能。 2. 说明.txt:这个文件可能是关于...
虫趣:FAST_MUTEX死锁
张佩的技术库
10-30 4957
问题到此可告一段落了: 线程1在处理IRP_MJ_POWER的时候,试图获取一个FAST_MUTEX同步对象,但因获取失败而进入休眠状态(并因休眠过久,而导致BSOD)。 在成功获取FAST_MUTEX对象的地址后,从它的结构体中得到了当前拥有此同步对象的线程2地址。 切换到线程2,发现线程2有一个无法处理的页错误,也同样处于等待状态中。
BSOD_0X9F
weixin_42308232的博客
01-17 2569
Microsoft ® Windows Debugger Version 10.0.17134.1 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [D:\Temp\BSOD\3Nod\MEMORY0926.DMP] Kernel Bitmap Dump File: Full addre...
BSOD及代码详解
zhongyhc的专栏
10-21 1649
BSoD,Blue Screen of Death,即蓝屏死机。 微软操作系统的经典死机提示屏幕。通常是由于工作在Ring0级的内核程序出错导致的,比如内核程序访问了不可访问的内存会立即导致BSoD。 Windows蓝屏错误代码详解编辑 蓝屏错误代码祥解我们在使用Windows的时候,出现蓝屏是经常的事。大多数时候,我们只能reset,现在公布蓝屏错误代码含义,以备使用。 数 值 叙
完整的蓝屏错误代码大全详解
热门推荐
xuexihao1234的博客
07-12 1万+
完整的BSOD错误代码列表从STOP 0x1到STOP 0xC0000221 一个死机(BSOD)的蓝屏,技术上称为一个STOP错误,若在Windows遭受了严重的错误,被迫“停”的问题。 在任何Windows 操作系统中都会出现BSOD错误,包括Windows 10,Windows 8,Windows 7,Windows Vista,Windows XP甚至Windows 98/95。 由于蓝屏错误让您别无选择,只能重新启动,故障排除可能很困难。幸运的是,几乎每个STOP错误都包含一个基于十六进制的STO
win10 64 免费可用的.驱动进程隐藏工具.不蓝屏的
12-16
不蓝屏的”表明我们讨论的是一个适用于Windows 10 64位系统的免费软件,它的主要功能是隐藏驱动进程,而且在使用过程中不会导致操作系统蓝屏(Blue Screen of Death,简称BSOD)。在Windows操作系统中,驱动程序是...
Drv_headed3me_读写_驱动读写_读写驱动_一个简单的win7内存读写驱动_
09-29
标题中的“Drv_headed3me_读写_驱动读写_读写驱动_一个简单的win7内存读写驱动”指的是一个专为Windows 7设计的简单内存读写驱动程序。这个驱动程序允许开发者或者系统在内核模式下直接对系统的物理内存进行读取和...
防蓝屏解决磁盘驱动问题.rar
08-07
总的来说,这个压缩包文件提供了一个解决方案,旨在帮助用户在更换主板或其他硬件设备后,解决由驱动程序引起的系统蓝屏问题,而无需进行系统重装。通过运行SkyIAR_v2.exe,用户可以扫描、识别并安装合适的磁盘驱动...
BSODScreen:BSOD屏幕保护程序
02-04
BSODScreen是一个独特的屏幕保护程序,它模仿了Windows操作系统中的“蓝屏死亡”(Blue Screen of Death,简称BSOD)现象。这个项目主要由C++语言编写,并利用OpenGL图形库来实现逼真的3D效果。同时,它还与ReactOS...
bsod错误代码。_BSOD的完整形式是什么?
07-30 1001
bsod错误代码。 蓝屏死机:蓝屏死机 (BSOD: Blue Screen of Death) BSOD is an abbreviation of the "Blue Screen of Death". BSOD是“死亡蓝屏”的缩写 。 It is a blue screen displayed by a system as an error screen because of kerne...
【转载】分析Windows的死亡蓝屏(BSOD)机制
danxuezx的专栏
02-20 1992
对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制。蓝屏其实是Windows系 统的一种自查机制,一但系统发现自己哪里有些不对劲后就立即抛出蓝屏,来阻止错误蔓延。倘若没有蓝屏机制,那么可能很小的一个错误最后会不断的酝酿导致系 统数据损坏的严重后果。而事实上因为Windows系统自身导致的蓝屏其实是少之又少的,更多的蓝屏诱因是各种驱动程序,因为作者个人对Rootkit类 程序感兴趣,因此在平时的学习过程中深感各种不良的内核HOOK或者过滤驱动是诱发蓝屏的小能手。当然不符合微软规定
常见BSOD蓝屏原因分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-24 1198
常见BSOD蓝屏原因分析 1。关闭了无效的HANDLE 2。在没有ObReferenceObject(pFileObject)的情况下ObDereferenceObject(pFileObject) 3。引用NULL指针 4。内存访问越界,BAD POOL HEADER
bsod错误代码。_如何解决BSOD(蓝屏死机)和Windows Stop错误?
cunchi8090的博客
07-18 2280
bsod错误代码。 If you get a (Blue Screen of Death), your system writes a small file called a minidump. 如果出现(蓝屏死机),则系统将写入一个称为minidump的小文件。 Your first step is to ma...
什么叫BSoD蓝屏死机
Rebecca
08-30 785
蓝屏的定义结果:蓝屏死机(blue screen of death,缩写BSoD)指的是微软Windows操作系统在无法从一个系统错误中恢覆过来时所显示的屏幕图像。Windows中有两个图像都被称为蓝屏死机,其中一个要比另一个严重得多。 {XP SP3安装后系统蓝屏(BSoD)的解决办法     XP SP3已经发布多时,但是,如果你打算使用具有AMD CPU的HP/Compaq电脑安装XP S...
onopendocument下设置文件过滤_蓝屏(BSOD)转储设置,看本文就够了!
weixin_39587407的博客
12-04 105
前言 我们在 内核转储,开抓啦! 这篇文章里介绍了一个关键的系统设置。设置好后可以让系统在蓝屏(Blue Screen of Death,简称 BSOD)的时候自动保存转储文件。那篇文章只是简单的介绍了设置步骤,本文力求详细的介绍相关内容。我们先根据下面的动图回顾一下设置步骤:不知道大家有没有想过这些设置保存在哪里了呢?我猜保存在注册表里。是不是呢?我们一起来看看吧。保存位置 为了找到这些设置保存...
Blue Screen Of Death ( BSOD ) 错误信息解析解释
孤剑之家
06-16 2269
这几天是我们毕业设计最后的也是最紧张的时间,但是今天我很幸运,和老师交流了一下,下个礼拜的周三我们的开始答辩了,不过我相信答辩我应该是不怕什么的。而且我相信我也能胜利。因为我自信。
Windows驱动编程权威指南(第二版)
8. **安全与稳定性**:强调驱动程序的安全性,如何避免蓝屏(BSOD)和其他系统稳定性问题,以及最佳实践。 9. **实例分析与代码示例**:书中很可能提供了实际的代码示例,帮助读者理解和应用WDM驱动开发的知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值