无符号驱动 加载时找入口点

最新推荐文章于 2024-03-07 16:42:46 发布
最新推荐文章于 2024-03-07 16:42:46 发布
阅读量387 收藏 1
点赞数
分类专栏: # 调试 内核安全编程 文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/115478925
版权

WIN7

 dt _DRIVER_OBJECT
nt!_DRIVER_OBJECT
   +0x000 Type             : Int2B
   +0x002 Size             : Int2B
   +0x008 DeviceObject     : Ptr64 _DEVICE_OBJECT
   +0x010 Flags            : Uint4B
   +0x018 DriverStart      : Ptr64 Void
   +0x020 DriverSize       : Uint4B
   +0x028 DriverSection    : Ptr64 Void
   +0x030 DriverExtension  : Ptr64 _DRIVER_EXTENSION
   +0x038 DriverName       : _UNICODE_STRING
   +0x048 HardwareDatabase : Ptr64 _UNICODE_STRING
   +0x050 FastIoDispatch   : Ptr64 _FAST_IO_DISPATCH
   +0x058 DriverInit       : Ptr64     long 
   +0x060 DriverStartIo    : Ptr64     void 
   +0x068 DriverUnload     : Ptr64     void 
   +0x070 MajorFunction    : [28] Ptr64     long

WIN7驱动程序的入口点在驱动对象结构体的+0x58处

IopLoadDriver在此函数中搜索0x58

nt!IopLoadDriver+0x9fe:
fffff800`042acc2e 488bd6          mov     rdx,rsi
fffff800`042acc31 488bcb          mov     rcx,rbx
fffff800`042acc34 ff5358          call    qword ptr [rbx+58h]     //call  DriverInit       
fffff800`042acc37 4c8b157a60daff  mov     r10,qword ptr [nt!PnpEtwHandle (fffff800`04052cb8)]
fffff800`042acc3e 8bf8            mov     edi,eax
fffff800`042acc40 898424e0000000  mov     dword ptr [rsp+0E0h],eax
fffff800`042acc47 4c3bd5          cmp     r10,rbp
fffff800`042acc4a 0f848e000000    je      nt!IopLoadDriver+0xaae (fffff800`042accde)

fffff800`042acc34 ff5358 这里下断点,单步就可以跟到驱动入口处了.

WIN 10

IopLoadDriver -> _guard_dispatch_icall -> jmp rax

19041以上

IopLoadDriver ->PnpCallDriverEntry-> _guard_dispatch_icall -> jmp rax

在这里插入图片描述

qq_857305819
关注
专栏目录
共享库的加载重定位
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
02-28 346
本文旨在解释现代操作系统如何实现使用加载重新定位的共享库。它专注于运行在32位x86上的Linux操作系统,但一般原则也适用于其他操作系统和CPU。请注意,共享库有许多名称-共享库、共享对象、动态共享对象(DSO)、动态链接库(DLL,如果你来自Windows背景)。
linux设备模型:pci驱动程序注册过程
大昱的博客
11-28 2335
MANF_ID 表示厂商ID 是一个数字ID,如0xfead 或 PCI_ANY_ID(表示通用),如果有真实硬件应与硬件ID一致 MODEL_CODE 表示厂商设备 是一个数字ID,如0x1234 或 PCI_ANY_ID(表示通用),如上 默认情况下,子系统的厂商ID和厂商设备ID不用设置,它们采用PCI_ANY_ID(表示通用),class、class_mask等成员默认也不需要指定,在设备创建后,创建相关对象关联设备节即可(或创建指定父级) pci_probe: 驱动探测函数,可在函数内
调试没有符号的驱动如何断在入口
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1260
关于调试没有符号的驱动如何断在入口处这个问题,先说一个我听来的很挫的方法:用C32ASM修改DriverEntry处为0xCC,就是int 3,修正校验和后加载,执行到DriverEntry产生int 3异常自然就会中断在调试器了,这再把原来的指令改回去继续跑就行了.改来改去的,确实比较挫~~. 那么怎么做比较好一呢? 我们都知道有符号直接bu drivername!DriverE
Windows驱动开发第3课(新建一个工程项目,写一个最简单的入口,使其编译正常通过)
weixin_42655748的博客
11-22 475
有了前面两课的了解,这节课我们真正开始学习Windows驱动开发了。 新建一个空项目,(未编辑完,稍后补上,谢谢关注)
驱动入口函数DriverEntry的简单概述
yshshx的博客
04-27 5067
概述 每一个驱动都有一个驱动入口函数DriverEntry 当IO Manager记载驱动,就会调用驱动入口函数DriverEntry 当添加驱动折别是,该驱动入口函数负责驱动初始化。 初始化任务主要有确定驱动使用对象,设置驱动系统资源。 驱动入口只有IRQL=PASSIVE_LEVEL级别的系统线程可以调用 驱动对象简介DRIVER_OBJECT I / O管理器为已安装和加载的每个驱动程序创...
COOP绕过微软最新CFG(Control Flow Guard)
u012679087的专栏
11-16 2170
原文链接:https://bbs.pediy.com/thread-217335.htm 最新的漏洞利用开始渐渐脱离基于ROP的代码重用攻击。在过去的两年里,出现了一些关于一种新的代码重用攻击的文章,Counterfeit Object-Oriented Programming(COOP)。COOP是一种顶级的针对forward-edge的执行流完整性(CFI) 的攻击方式。
Windows x64内核学习笔记(六)—— LFENCE&CFG
qq_41988448的博客
03-09 1678
Windows x64内核学习笔记(六)—— 硬件漏洞补丁&CFG预测执行实验一:理解预测执行幽灵漏洞LFENCECFG_guard_dispatch_icall参考资料 预测执行 众所周知,CPU的运行速度是非常快的,每秒能执行百千万条指令,而指令是从哪里来的呢,当然是从内存中读取的。由于内存的运行效率低于CPU,就导致了一个问题,即CPU访问内存的速度远大于内存访问CPU的速度。 那么,应该怎么做,才能将CPU的性能尽可能利用起来呢? CPU处理一条指令大致可以分为四个阶段:读取指令、翻译指令
OpenHarmony HDF 驱动框架介绍和驱动加载过程分析
qq_39999096的博客
02-06 1138
HDF驱动框架概述 OpenAtom OpenHarmony(以下简称“OpenHarmony”)系统 HDF 驱动框架采用 C 语言面向对象编程模型构建,通过平台解耦、内核解耦,来达到兼容不同内核,统一平台底座的目的,从而帮助开发者实现驱动一次开发,多系统部署的效果。 为了达成这个目标, OpenHarmony 系统 HDF 驱动框架提供了: 操作系统适配层(OSAL,operatingsystem abstraction layer):对内核操作相关接口进行统一封装...
Linux驱动基础:软中断处理程序与模块加载
模块在内核空间运行,使用`module_init`初始化入口,而没有明确的退出,由用户空间调用`insmod`加载。模块的调试可以通过gdb等工具进行。同,文章还列出了几个常用的模块相关命令,如`insmod`用于加载模块,`...
DriverManager 驱动加载管理程序
12-21
DriverManager是一款专为驱动开发设计的实用工具,它集成了驱动加载、卸载以及系统核心结构信息的查看等功能,极大地简化了驱动程序开发者的工作流程。本文将深入探讨DriverManager的核心功能,包括驱动管理、内核级...
面向循环的编程:一种新的代码重用攻击以绕过现代防御
03-12
面向循环的编程:一种新的代码重用攻击以绕过现代防御
riched20.dll
12-02
在Ubuntu系统下,需要安装Windows下的软件,在Ubuntu中安装Wine,在Wine中安装钉钉,微信等应用的候,会发现输入框显示不了光标和输入的文字,那么就需要riched20.dll这个库来替换,在win7 或 xp (32位的) 到c:/windows/system32/riched20.dll,特此上传方便大家替换
windbg : x 命令
Mr.Sugarcane
01-24 1196
windbg x指令
Windows DWrite 组件 RCE 漏洞 (CVE-2021-24093) 分析
smellycat000的专栏
06-24 843
聚焦源代码安全,网罗国内外最新资讯!概述Windows图形组件DWrite库存在数组越界写漏洞 (CVE-2021-24093),可导致远程代码执行。当DWrite库解析恶意构造的字体文...
堆溢出崩溃分析Critical error detected c0000374
顺其自然~专栏
05-18 3759
(Owed by: 春夜喜雨 http://blog.csdn.net/chunyexiyu) 参考:https://blog.csdn.net/q610098308/article/details/94630682 参考:https://blog.csdn.net/weitaming1/article/details/84023789 参考:https://stackoverflow.com/questions/23471161/critical-error-detected-c0000374-c-d..
cve2021
smile99_的博客
06-02 337
2.windows类型开发 cve-2021-36955 CLFS提权 cve-2022-24521CLFS提权 cve-2022-37969有exp 3.linux内核uaf cve-2017-11176实现getshell 命令执行 NtCreateFile Windbg BINDIFF 内核下的一般漏洞分析,通常使用Windbg远程双机调试的方式,对于特殊漏洞,比如虚拟化漏洞相关,可以采用IDA + VMWare GdbStub的方式。 漏洞分析三要素: 调试工具的熟练程度:
ExplorerFrame.dll 的 BUG可能导致不良设计的用户程序危害系统稳定
oRbIt 的专栏
05-27 923
ExplorerFrame.dll 动态链接库中的 `GetInfoTipEx` 函数实现缺陷,可能导致不良设计的用户代码破坏系统稳定性。如果用户程序对 IQueryInfo 接口的`GetInfoTip`方法实现不当,可能会触发`GetInfoTipEx`的缺陷,导致 explorer.exe 异常退出
windbg抓一个windows蓝屏分析
热门推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
WinDbg无符号调试DriverEntry中断
最新发布
qq_38933606的博客
03-07 674
在内核中,许多函数都需要进行间接调用,出于安全性考虑,避免目标地址被控制,因此不会直接CALL目标地址,而是先通过_guard_dispatch_icall检查地址合法性,并由其进行调用,如果地址合法,它的作用相当于「CALL RAX」。因此,我们在上图红色位置打下断,等待内核执行到这里,查看RAX的地址。从正常的DriverEntry的调用栈栈中可以看到驱动加载的调用路径基本上如下所示。然后在反汇编窗口中可以发现,这里通过CFG的派遣调用方式执行了RAX指向的函数。上图中可以看到在pe文件后,又通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值