win7-32、驱动模块遍历、驱动模块隐藏

最新推荐文章于 2022-11-18 09:37:44 发布
最新推荐文章于 2022-11-18 09:37:44 发布
阅读量876 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36947774/article/details/118553229
版权

一、DebugView 过滤打印
打印日志前缀,过滤掉不是我们的日志,只会显示我们自己的日志
在这里插入图片描述
二、内核遍历驱动模块

首先需要先了解一下双向循环链表

typedef struct _KLDR_DATA_TABLE_ENTRY
{
	typedef  struct LIST_ENTRY InLoadOrderLinks
	{
		0x00	struct _LIST_ENTRY *Flink;	//相当于_KLDR_DATA_TABLE_ENTRY这个结构体的首地址,是一个指针占用4个字节
		0x04	struct _LIST_ENTRY *Blink;
	} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;
	
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	...
	...
	PVOID PatchInformation;
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2.
遍历驱动模块
首先我们看一下PDRIVER_OBJECT这个结构体

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
}
kd > dt  _DRIVER_OBJECT
ntdll!_DRIVER_OBJECT
+ 0x000 Type             : Int2B
+ 0x002 Size : Int2B
+ 0x004 DeviceObject : Ptr32 _DEVICE_OBJECT
+ 0x008 Flags : Uint4B
+ 0x00c DriverStart : Ptr32 Void
+ 0x010 DriverSize : Uint4B
+ 0x014 DriverSection : Ptr32 Void
+ 0x018 DriverExtension : Ptr32 _DRIVER_EXTENSION
+ 0x01c DriverName : _UNICODE_STRING
+ 0x024 HardwareDatabase : Ptr32 _UNICODE_STRING
+ 0x028 FastIoDispatch : Ptr32 _FAST_IO_DISPATCH
+ 0x02c DriverInit : Ptr32     long			//【DriverEntry】例程的入口点,被【I/O管理器】调用;
+ 0x030 DriverStartIo : Ptr32     void
+ 0x034 DriverUnload : Ptr32     void
+ 0x038 MajorFunction : [28] Ptr32     long

其中DriverSection这个就是指向_LDR_DATA_TABLE_ENTRY这个结构体的指针,这是个驱动内核双向链表,可以通过遍历这个链表获得所有的驱动程序;或者通过断链进行隐藏驱动程序;

    dt _LDR_DATA_TABLE_ENTRY 0x84356850
	ntdll!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY [ 0x86741c20 - 0x84356850 ]	//这个就是指向上一个/下一个驱动程序的结构体指针
   +0x008 InMemoryOrderLinks : _LIST_ENTRY [ 0x84284544 - 0x12 ]
   +0x010 InInitializationOrderLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
   +0x018 DllBase          : 0x8420c000 Void
   +0x01c EntryPoint       : 0x8432b4d8 Void
   +0x020 SizeOfImage      : 0x412000
   +0x024 FullDllName      : _UNICODE_STRING "\SystemRoot\system32\ntkrnlpa.exe"
   +0x02c BaseDllName      : _UNICODE_STRING "ntoskrnl.exe"
   +0x034 Flags            : 0x8004000
   +0x038 LoadCount        : 0x6f
   +0x03a TlsIndex         : 0
   +0x03c HashLinks        : _LIST_ENTRY [ 0x0 - 0x3c88ac ]
   +0x03c SectionPointer   : (null)
   +0x040 CheckSum         : 0x3c88ac
   +0x044 TimeDateStamp    : 0
   +0x044 LoadedImports    : (null)
   +0x048 EntryPointActivationContext : (null)
   +0x04c PatchInformation : (null)
   +0x050 ForwarderLinks   : _LIST_ENTRY [ 0x0 - 0x412000 ]
   +0x058 ServiceTagLinks  : _LIST_ENTRY [ 0x4ce78a09 - 0x74006e ]
   +0x060 StaticLinks      : _LIST_ENTRY [ 0x73006f - 0x72006b ]
   +0x068 ContextInformation : 0x006c006e Void
   +0x06c OriginalBase     : 0x65002e
   +0x070 LoadTime         : _LARGE_INTEGER 0x650078

驱动遍历源代码

#include <ntifs.h>

//内核驱动链表的结构体
typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;					//驱动链表、双向循环链表
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;									//PE头
	PVOID EntryPoint;								//入口点
	UINT32 SizeOfImage;
	UNICODE_STRING FullDllName;						//驱动路径名字
	UNICODE_STRING BaseDllName;						//驱动名字
	UINT32 Flags;
	UINT16 LoadCount;
	UINT16 TlsIndex;
	LIST_ENTRY HashLinks;
	PVOID SectionPointer;
	UINT32 CheckSum;								//PE文件校验和时间戳
	UINT32 TimeDateStamp;
	PVOID LoadedImports;
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

//驱动卸载函数
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    return;
}

//驱动主函数
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
    //DbgBreakPoint();
	PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
	PKLDR_DATA_TABLE_ENTRY pre = (PKLDR_DATA_TABLE_ENTRY)ldr->InLoadOrderLinks.Flink;	//用作头链表,用来判断是否遍历到了起始位置
	PKLDR_DATA_TABLE_ENTRY next = (PKLDR_DATA_TABLE_ENTRY)pre->InLoadOrderLinks.Flink;
	
    UINT32 count = 1;
    DbgPrintEx((PCSTR)77, 0, "[db]: 0 driver name = %wZ\n", &pre->FullDllName);
    while (next != pre)
    {
		DbgPrintEx((PCSTR)77, 0, "[db]: %d driver name = %wZ\n", count++, &next->FullDllName);
		next = (PKLDR_DATA_TABLE_ENTRY)next->InLoadOrderLinks.Flink;
    }

    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

三、驱动断链

驱动断链源码

通过找到_KLDR_DATA_TABLE_ENTRY这个结构体进行断链,但是无法做到完全隐藏

#include <ntifs.h>

typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	UINT32 SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	UINT32 Flags;
	UINT16 LoadCount;
	UINT16 TlsIndex;
	LIST_ENTRY HashLinks;
	PVOID SectionPointer;
	UINT32 CheckSum;
	UINT32 TimeDateStamp;
	PVOID LoadedImports;
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{

    return;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
    DbgBreakPoint();
	//新创建的驱动,增加在链表的末尾
	PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
	//这个是空的,因为这是链表头
	//Flink指向下一个LIST_ENTRY
	//Blink指向上一个LIST_ENTRY
	//用作头链表,用来判断是否遍历到了起始位置,这个位置没有驱动程序
	PKLDR_DATA_TABLE_ENTRY pre = (PKLDR_DATA_TABLE_ENTRY)ldr->InLoadOrderLinks.Flink;	
	PKLDR_DATA_TABLE_ENTRY next = (PKLDR_DATA_TABLE_ENTRY)pre->InLoadOrderLinks.Flink;

   
	UNICODE_STRING driverName = { 0 };

	//有两个PCHunter32am.sys模块,PCHunter32aq.sys的意思是断链两个驱动模块
	RtlInitUnicodeString(&driverName, L"PCHunter32aq.sys");
	
    UINT32 count = 1;
    DbgPrintEx((PCSTR)77, 0, "[db]: 0 driver name = %wZ\n", &pre->FullDllName);
    while (next != pre)
    {
		DbgPrintEx((PCSTR)77, 0, "[db]: %d driver name = %wZ\n", count++, &next->FullDllName);

		//字符串的长度不是0,并且按照规则比较结果返回有符号数值
		if (next->BaseDllName.Length != 0 && RtlCompareUnicodeString(&driverName, &next->BaseDllName, TRUE) == 0)
		{
			//进行断链接
			//next->InLoadOrderLinks相当于是这个驱动自身的_KLDR_DATA_TABLE_ENTRY
			RemoveEntryList(&next->InLoadOrderLinks);
			break;
		}

		next = (PKLDR_DATA_TABLE_ENTRY)next->InLoadOrderLinks.Flink;
    }

    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

我们来看一下RemoveEntryList()这个函数
在这里插入图片描述

四、上面的方法无法做到完全隐藏驱动模块断链,需要另一种方法:找到驱动对象进行断链而不是_KLDR_DATA_TABLE_ENTRY这个结构体

#include <ntifs.h>

typedef struct _KLDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	UINT32 SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	UINT32 Flags;
	UINT16 LoadCount;
	UINT16 TlsIndex;
	LIST_ENTRY HashLinks;
	PVOID SectionPointer;
	UINT32 CheckSum;
	UINT32 TimeDateStamp;
	PVOID LoadedImports;
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

//未导出的函数
NTKERNELAPI NTSTATUS ObReferenceObjectByName(
	IN PUNICODE_STRING ObjectName,
	IN ULONG Attributes,
	IN PACCESS_STATE PassedAccessState OPTIONAL,
	IN ACCESS_MASK DesiredAccess OPTIONAL,
	IN POBJECT_TYPE ObjectType,
	IN KPROCESSOR_MODE AccessMode,
	IN OUT PVOID ParseContext OPTIONAL,
	OUT PVOID *Object
	);

extern POBJECT_TYPE *IoDriverObjectType;

void DriverHide(PWCH ObjName)
{
	LARGE_INTEGER in = { 0 };
	//这里的负数表示的是相对时间,正数拒说表示绝对时间,我没试出效果。
	//单位是100nm,此处乘以10000是让单位变为s,很多代码都是乘以10,即传入的单位是ms;
	in.QuadPart = -10000 * 1000;	

	//该函数将当前执行线程置于等待状态,当时间过后被唤醒。
	KeDelayExecutionThread(KernelMode, FALSE, &in);	
	
	UNICODE_STRING driverName1 = { 0 };
	//PCHunter32am.sys模块
	//驱动对象路径
	RtlInitUnicodeString(&driverName1, ObjName);
	
	//通过  L"\\Driver\\DriverA" 找到驱动对象
	PDRIVER_OBJECT httpDriver = NULL;
	NTSTATUS status = ObReferenceObjectByName(
											&driverName1, 
											FILE_ALL_ACCESS, 
											0, 
											0, 
											*IoDriverObjectType, 
											KernelMode, 
											NULL,
											&httpDriver
											);

	if (NT_SUCCESS(status))
	{
		//获取 PKLDR_DATA_TABLE_ENTRY 这个结构体,进行打印
		PKLDR_DATA_TABLE_ENTRY ldr = (PKLDR_DATA_TABLE_ENTRY)httpDriver->DriverSection;
		DbgPrintEx(77, 0, "[db]:  %wZ\n", &ldr->FullDllName);
		
		//进行断链接
		httpDriver->DriverSection = ldr->InLoadOrderLinks.Flink;	//在没有断链之前,给他填充一下;
//指向下一个PKLDR_DATA_TABLE_ENTRY 结构结构体
		//ldr->InLoadOrderLinks 相当于是这个驱动自身的_KLDR_DATA_TABLE_ENTRY
		RemoveEntryList(&ldr->InLoadOrderLinks);
		//【DriverEntry】例程的入口点,被【I/O管理器】调用;进行清零
		httpDriver->DriverInit = NULL;
	
		//关闭驱动对象引用
		ObDereferenceObject(httpDriver);
	}
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    return;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg)
{
	HANDLE hThread = NULL;

	//创建系统线程
	//C:\Users\PNDGMCSY\Desktop\PCHunter驱动模块查看\PCHunter32am.sys
	NTSTATUS status = PsCreateSystemThread(
											&hThread, 
											THREAD_ALL_ACCESS, 
											NULL, 
											NULL, 
											NULL, 
											DriverHide, 		//调用的函数
											L"\\driver\\PCHunter32am"	//传递给函数的参数
											);			
										
	if (NT_SUCCESS(status))
	{

		NtClose(hThread);
	}

    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
txPNDGMCSY
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 477
遍历成功拿到了线程回调对象。
驱动模块隐藏源码.rar
09-25
本资源"驱动模块隐藏源码.rar"提供的是一个x64架构下的驱动程序源代码,特别之处在于它包含了隐藏驱动模块的技术,使其能够避免被系统检测到。这对于那些需要深入理解驱动开发或者研究系统安全性的开发者来说,是一...
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 621
驱动层vad树遍历
x64驱动 遍历驱动模块
墨鱼菜鸡
07-02 165
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!...
Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)
时空之中的灵魂
10-14 364
附另两种方法链接 Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 1.主要区别
驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
嵌入式Linux视频笔记----驱动开发
gzc0319的博客
03-15 1807
https://www.bilibili.com/video/BV1pf4y1974n/?spm_id_from=333.788.videocard.1 基本看完了,基本只看视频没看详细的pdf,试验挑着做,一讲代码就蒙蔽。但还是有了基本的概念,知道驱动相关知识 P1 内核模块基本概念 现代内核派系:宏内核--Linux等、关键功能和服务功能均在内核、效率高、扩展性差;微内核--关键功能在内核,服务功能在用户空间、效率低、扩展性高 内核模块:加载、卸载;入口、出口;信息声明 下面两个实验都是最简.
用户登录程序--绘制--遍历窗口
weixin_30809173的博客
03-20 162
1.文本框,静态文本,按钮 2.获取文本框信息: 1.不绑定变量,直接用成员函数或者API GetDlgItemText ::GetWindowText 2.绑定变量,使用UpdateData,给变量赋值 UpdateData(TRUE)-控件中的值赋给变量 UpdateData(FALSE)-变量的值赋给控件 3.UpdateData函数原理 Update...
Windows驱动开发学习记录-遍历内核已加载模块之一(使用DriverSection)
时空之中的灵魂
08-31 1786
1.关键结构体 _LDR_DATA_TABLE_ENTRY为所需要的结构体,具体说明和如何获取应该结构体数据见本人另一篇文章<<Windows驱动开发学习记录-驱动中获取当前驱动文件路径>>。 现在需要的是该结构体InLoadOrderLinks,这个链表为所有已加载的内核模块的_LDR_DATA_TABLE_ENTRY结构的指针,通过遍历这个链表就可以获取所有已加载的内核模块数据,再取该结构的FullDllName或者BaseDllName即为加...
Win32 API 函数大全使用详解 .zip
11-26
1. **窗口管理**:Win32 API提供了一系列函数来创建、显示、隐藏、移动和销毁窗口。例如,`CreateWindowEx`用于创建窗口,`ShowWindow`控制窗口的可见性,`SetWindowPos`调整窗口的位置和大小。 2. **消息处理**:...
数字驱动分析笔记之HookPort1
08-03
【数字驱动分析笔记之HookPort1】主要涉及的是Windows驱动程序开发中的钩子技术,用于监控和控制系统关键API的调用。以下是该主题中涉及的知识点详解: 1. **驱动程序开发**: - 驱动程序是操作系统的核心组成部分...
oq-generator
05-04
2. **数组和循环**:为了存储和处理各种可能的属性值或技能,开发者可能会使用数组,并通过循环来遍历和随机选择。 3. **函数和模块化**:每个角色的生成可能由一系列函数组成,这些函数各自负责不同的任务,如生成...
tic-tac-toe-main.zip
05-26
它涵盖了基本的编程概念,如数据结构、逻辑判断、用户交互,同时还可以练习到面向对象编程和测试驱动开发。 总结,"tic-tac-toe-main.zip"是一个井字游戏的实现,涉及了游戏规则、界面设计、逻辑判断、数据结构、...
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 884
驱动开发
jiaoyanguizeduibi
07-10
jiaoyanguizeduibi
戴师兄数据分析启蒙课_Tableau练习.twbx
最新发布
07-10
戴师兄数据分析启蒙课_Tableau练习.twbx
2024年欧洲酒精测试仪和药物测试设备市场主要企业市场占有率及排名.docx
07-09
2024年欧洲酒精测试仪和药物测试设备市场主要企业市场占有率及排名.docx
7-1 二叉树的遍历
11-21
以下是二叉树的三种遍历方式的Python实现: 1. 先根遍历(先序遍历) 先访问根节点,再访问左子树,最后访问右子树。 ```python class TreeNode: def __init__(self, val=0, left=None, right=None): self.val ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值