内核 监控模块

最新推荐文章于 2021-02-17 22:42:43 发布
最新推荐文章于 2021-02-17 22:42:43 发布
阅读量400 收藏 2
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86507398
版权

这里的话 可能比较简单一些    和上一张的 检测 进程差不多的 

然后 也是根据  作者Tesla.Angela  所记的笔记 

然后今天 搞得是  内核监控模块 这里也是用的 微软使用的函数  而且 据作者所说 这个函数还很底层

那么 这个可比 hook 函数 好用多了  然后的话 

函数原型 

增加

PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine); 

删除

PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);

然后就是判断是dll 还是sys    这里 我一开始的想法就是  后缀名  

但是这里有个更好的思路 就是直接判断 ProcessId

,如果 PID 位非零,则表示加载 DLL  然后这里也是 直接找到入口函数 然后直接 写入shellcode  拒绝访问的 就行了

Mov eax,c0000022h B8 22 00 00 C0

Ret C3 

这个意思就是 直接在入口函数 直接返回 0xC0000022的错误码 

然后下面就是代码 

#include <ntddk.h>
#include <ntimage.h>
VOID Unload(PDRIVER_OBJECT pDriverObj)
{
	KdPrint(("拜拜!\n"));
}
VOID UnicodeTOChar(PUNICODE_STRING unicode,char *str)
{
	ANSI_STRING string;
	RtlUnicodeStringToAnsiString(&string, unicode, TRUE);
	strcpy(str, string.Buffer);
	RtlFreeAnsiString(&string);
}
VOID xkCopyMemory(PVOID pDestination, PVOID pSourceAddress, SIZE_T SizeOfCopy)
{
	PMDL pMdl = NULL;
	PVOID pSafeAddress = NULL;
	pMdl = IoAllocateMdl(pSourceAddress, (ULONG)SizeOfCopy, FALSE, FALSE, NULL);
	if (!pMdl)
		return;
	__try
	{
		MmProbeAndLockPages(pMdl, KernelMode, IoReadAccess);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		IoFreeMdl(pMdl);
		return;
	}
	pSafeAddress = MmGetSystemAddressForMdlSafe(pMdl, NormalPagePriority);
	if (!pSafeAddress) 
		return;
	RtlCopyMemory(pDestination, pSafeAddress, SizeOfCopy);
	MmUnlockPages(pMdl);
	IoFreeMdl(pMdl);

}
void DenyLoadDriver(PVOID DriverEntry)
{
	UCHAR shellcode[] = "\xB8\x22\x00\x00\xC0\xC3";
	xkCopyMemory(DriverEntry, shellcode, sizeof(shellcode));
}

PVOID GetDriveByImageBase(PVOID ImageBase)
{
	PIMAGE_DOS_HEADER Posdos;
	PIMAGE_NT_HEADERS64 pNtbase;
	Posdos = (PIMAGE_DOS_HEADER)ImageBase;
	pNtbase = (PIMAGE_NT_HEADERS64)((ULONG64)ImageBase + Posdos->e_lfanew);
	PVOID pEntryPoint = (PVOID)((ULONG64)ImageBase + pNtbase->OptionalHeader.AddressOfEntryPoint);
	return pEntryPoint;
}
VOID LookLoadImage(
	__in_opt PUNICODE_STRING  FullImageName,
	__in HANDLE  ProcessId,
	__in PIMAGE_INFO  ImageInfo
	)
{
	PVOID pDriver;
	char szFullName[256] = {0};
	if (FullImageName != NULL&&MmIsAddressValid(FullImageName))
	{  
		if (ProcessId == 0)
	  	{  
			KdPrint(("加载模块%wZ", FullImageName));
			pDriver = GetDriveByImageBase(ImageInfo->ImageBase);
			KdPrint(("DriverEntry 地址%x\n", pDriver));
			UnicodeTOChar(FullImageName, szFullName);
			if (strstr(_strlwr(szFullName), "win64ast.sys"))
			{
				KdPrint(("禁止加载win64ast.sys"));
				DenyLoadDriver(pDriver);
			}
		}

	}

}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{ 
	PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LookLoadImage);
	pDriverObj->DriverUnload = Unload;

	return STATUS_SUCCESS;
}

pipixia233333
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核:进程系统监控与管理
m0_74282605的博客
04-17 220
进程是已启动的可执行程序的运行中的实例负载均衡表示一段时间内感知系统负载,报告CPU上准备运行的进程数以及等待磁盘或网络I/O完成的进程数。
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 1070
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
PsSetProcessCreateNotifyRoutineEx
yymiaoxin2010的博客
06-09 276
PsSetProcessCreateNotifyRoutineEx返回错误c0000022 项目->属性->链接器->命令行 添加 “/INTEGRITYCHECK”
开源框架VTMagic的使用介绍
weixin_34185560的博客
06-13 191
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows内核驱动EPROCESS遍历进程模块
12-14
总的来说,"Windows内核驱动EPROCESS遍历进程模块"是一项深入的操作系统级任务,它可以帮助我们更好地理解和监控系统运行状态,但同时也需要开发者具备高级的编程技能和对系统安全的深刻理解。通过学习和实践这一...
window内核监控工具源代码
09-26
一:SSDT表的hook检测和... 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
易语言源码易语言监控文件模块源码.rar
03-31
易语言提供的文件监控模块,可以方便开发者实现这些功能。 三、文件监控技术实现 1. 文件系统过滤驱动(File System Filter Driver):这是一种底层的监控方式,通过编写驱动程序插入到文件系统内核层,能监控所有...
使用kgdb调试linux内核内核模块
03-06
在Linux系统中,调试内核内核模块是一项复杂但重要的任务,特别是在开发或优化系统时。`kgdb`(Kernel GNU Debugger)是Linux社区提供的一款强大的工具,它允许开发者远程或者本地调试运行中的内核,包括内核模块...
内核态memcached模块
03-06
8. **调试与监控**:内核态的模块通常需要提供内核日志和调试接口,以便于开发人员和运维人员监控和诊断问题。 综上所述,内核态memcached模块的实现是一个复杂而精细的工作,它结合了内存管理、并发控制、网络通信...
kenel-programming:一个简单的内核模块监控进程
05-31
kenel_programming 实施和设计决策 Step1:我们在Proc文件系统中创建了一个目录条目“/proc/mp1”,并在该目录中创建了一个文件条目“/proc/mp1/status/” /* Helper function to create the directory entries for /proc */ void​create_mp1_proc_files(v​oid)​; 第二步:声明并初始化一个链表“pid_time_list”,其中包含每个注册进程的PID和CPU时间。 /* The linked list structure */ struct​pid_time_list { s​truct​list_head list; /​* Kernel's list structure */ u​nsigned​l​ong​pid; u​nsigned​l​o
PsSetCreateProcessNotifyRoutine妙用
yushiqiang1688的专栏
01-18 1万+
最近要做一个进程监控的程序,功能很简单,就是创建和退出进程的时候,能触发我们的事件。首先的第一想法,是Hook ZwCreateProcess,结果调试的时候发现,很多创建进程的动作,并没有通过这个API执行,所以自然就是没办法监控进程的创建,于是回到本质,从创建进程的动作过程来分析,创建新的进程,其大致要经历以下步骤:(1)打开可执行文件,以FILE_EXECUTE权限打开;(2)将
[内核安全7]内核级的进程的监控
輚至消亡
02-17 785
0. 导言 进程的监控可以通过挂钩SSDT表中的NtOpenProcess来实现,但是现在这种方式已经不怎么用了,因为不稳定在者可能会被认为是恶意软件。微软知道这个问题所以为我们提供了专门的内核接口来实现这种功能。 1. PsSetCreateProcessNotifyRoutine 通过PsSetCreateProcessNotifyRoutine来监控进程, 该内核函数有个升级版PsSetCreateProcessNotifyRoutineEx。这个升级版功能更强大但只能在Vista版本以后使用,
驱动层PsSetCreateProcessNotifyRoutine监视进程 ,返回应用层
ShadowAssassin的专栏
01-04 3212
源程序大致过程如下: 1、驱动程序调用函数PsSetCreateProcessNotifyRoutine  设置监视进程的回调函数ProcessMonitorCallback  ,当应用层有进程创建时,驱动程序调用回调函 数ProcessMonitorCallback获得新建或者结束的进程信息,将信息存放到扩展结构中,以便通过method_buffer方式传回应用层。 2、当
linux内核态hook模块
faxiang1230的专栏
12-03 3760
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
linux内核中添加模块
热门推荐
runner668的博客
07-04 1万+
由于LINUX设备驱动以内核模块的形式而存在,因此,掌握这一章的内容是编写任何类型设备驱动所必须的。在具体的设备驱动开发中,将驱动编译为内核模块也有很强的工程意义,因为如果将正在开发中的驱动直接编译入内核,而开发过程中会不断修改驱动的代码,则需要不断地编译内核并重启内核,但是如果编译为模块,则只需要rmmod并insmod即可,开发效率大为提高。下面说明如何添加、编译并允许LINUX模块。除此之外...
微软轻量级系统监控工具sysmon内核实现原理
浪子_三少(邮箱:basketwill@qq.com)
12-26 1104
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。  一、          驱动DriverEntry的初始化  从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...
windows 内核 监控打印内容
最新发布
11-28
首先,需要在系统级别创建一个内核模块或驱动程序。该驱动程序将负责拦截并捕获打印请求,以便我们可以监视和记录打印内容。 接下来,我们需要注册我们的驱动程序,使其能够加载到操作系统内核中。这可以通过使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值