内核上项目【通信】

最新推荐文章于 2024-05-08 15:02:19 发布
最新推荐文章于 2024-05-08 15:02:19 发布
阅读量235 收藏 1
点赞数 3
分类专栏: windows内核 文章标签: 系统安全 windows 驱动开发 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45844442/article/details/134960230
版权

文章目录

目的

在Win7 64位系统上编写驱动利用ExRegisterAttributeInformationCallback注册回调进行通信

操作步骤

1.利用MmGetSystemRoutineAddress获取ExRegisterAttributeInformationCallback中ExpDisSetAttributeInformation、ExpDisQueryAttributeInformation全局变量位置,并将其置为0,以实现执行到注册的目标回调函数
2.三环部分利用NtQueryInformationFile进行通信,最后一项的FileInformationClass成员置为0x34以实现调用到0环注册的回调函数
3.在卸载驱动时将其原先保存的ExpDisQueryAttributeInformation、ExpDisSetAttributeInformation进行恢复,否则将蓝屏

逆向分析

箭头所标记位置进行判断全局变量ExpDisSetAttributeInformation、ExpDisQueryAttributeInformation是否为空,如果不为空就不进行注册,所以需要在操作步骤一中将其进行置0
在这里插入图片描述对ExpDisQueryAttributeInformation进行交叉引用发现其最终会通过NtQueryInformationFile进行调用
在这里插入图片描述NtQueryInformationFile中会判断成员FileInformationClass是否为0x34,如果不为0x34则不进行调用ExQueryAttributeInformation
在这里插入图片描述

实现代码

Win7_Comm.h(通信头文件)

#pragma once
#include<ntifs.h>
typedef struct _CommPackage
{
	ULONG64 Id;
	ULONG64 cmd;
	ULONG64 Data;
	ULONG64 Size;
	ULONG64 retStatus;
}CommPackage, * PCommPackage;

typedef NTSTATUS(*CommCallbackProc)(PCommPackage package);
typedef NTSTATUS(*FileCallBack)(HANDLE FileHandle, PVOID info);
typedef struct _RegisterCallback
{
	FileCallBack QueryFileCallback;
	FileCallBack SetFileCallBack;

}RegisterCallback, * PRegisterCallback;
typedef NTSTATUS(*ExRegisterAttributeInformationCallbackProc)(PRegisterCallback callbacks);

NTSTATUS CommWin7(CommCallbackProc callback);

VOID UnRegisterCommWin7();

VOID UnRegisterCommWin10();

VOID UnRegisterComm();

NTSTATUS SetFileCallBack(HANDLE FileHandle, PVOID info);

NTSTATUS QueryFileCallBack(HANDLE FileHandle, PVOID info);

Win7_Comm.c (通信实现代码)

#include"Win7_comm.h"

FileCallBack oldExpDisQueryAttributeInformationFunc = 0;
FileCallBack oldExpDisSetAttributeInformationFunc = 0;
CommCallbackProc gCommCallback = NULL;
PULONG64 gWin7CallbackVar = 0;

NTSTATUS QueryFileCallBack(HANDLE FileHandle, PVOID info)
{
	KdPrintEx((77, 0, "QueryFileCallBack\r\n"));
	if (MmIsAddressValid(info))
	{
		PCommPackage package = (PCommPackage)info;
		if (package->Id == 0x12345678)
		{
			package->retStatus = gCommCallback(package);

		}
		else
		{
			if (oldExpDisQueryAttributeInformationFunc)
			{
				return oldExpDisQueryAttributeInformationFunc(FileHandle, info);
			}
		}
	}


	return STATUS_SUCCESS;
}

NTSTATUS SetFileCallBack(HANDLE FileHandle, PVOID info)
{
	KdPrintEx((77, 0, "SetFileCallBack\r\n"));
	if (MmIsAddressValid(info))
	{
		PCommPackage package = (PCommPackage)info;
		if (package->Id == 0x12345678)
		{
			package->retStatus = gCommCallback(package);

		}
		else
		{
			if (oldExpDisSetAttributeInformationFunc)
			{
				return oldExpDisSetAttributeInformationFunc(FileHandle, info);
			}
		}

	}

	return STATUS_SUCCESS;
}

NTSTATUS CommWin7(CommCallbackProc callback)
{
	UNICODE_STRING unName = { 0 };
	RtlInitUnicodeString(&unName, L"ExRegisterAttributeInformationCallback");
	ExRegisterAttributeInformationCallbackProc pFunc = MmGetSystemRoutineAddress(&unName);
	DbgBreakPoint();
	//寻找系统初始化的ExpDisQueryAttributeInformation与ExpDisSetAttributeInformation
	ULONG64 offset = *(PULONG)((ULONG64)pFunc + 0xD + 3);
	PULONG64 ExpDisQueryAttributeInformation = (offset + 0x14 + (ULONG64)pFunc);
	oldExpDisQueryAttributeInformationFunc = (FileCallBack)ExpDisQueryAttributeInformation[0];
	oldExpDisSetAttributeInformationFunc = (FileCallBack)ExpDisQueryAttributeInformation[1];

	ExpDisQueryAttributeInformation[0] = 0;
	ExpDisQueryAttributeInformation[1] = 0;
	RegisterCallback rcb = { 0 };
	rcb.SetFileCallBack = SetFileCallBack;
	rcb.QueryFileCallback = QueryFileCallBack;

	NTSTATUS state = pFunc(&rcb);
	if (NT_SUCCESS(state))
	{
		gWin7CallbackVar = ExpDisQueryAttributeInformation;
		gCommCallback = callback;
	}
	return state;
}

VOID UnRegisterCommWin7()
{
	if (gWin7CallbackVar)
	{
		gWin7CallbackVar[0] = oldExpDisQueryAttributeInformationFunc;
		gWin7CallbackVar[1] = oldExpDisSetAttributeInformationFunc;
	}
}

VOID UnRegisterComm()
{
	RTL_OSVERSIONINFOEXW version = { 0 };
	RtlGetVersion(&version);

	if (version.dwBuildNumber == 7600 || version.dwBuildNumber == 7601)
	{
		UnRegisterCommWin7();
		return;
	}
}

DriverMain.c (驱动主函数)

#include<ntifs.h>
#include"Win7_comm.h"

VOID DriverUnload(_In_ struct _DRIVER_OBJECT* DriverObject)
{
	DbgPrint("--------------DRIVER_UNLOAD-----------------");
	UnRegisterComm();
}

NTSTATUS NTAPI DispatchComm(PCommPackage package)
{
	DbgPrintEx(77, 0, "[db]:%llx,%llx\r\n", package->Id, package->cmd);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	NTSTATUS state = CommWin7(DispatchComm);

	pDriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;
}

通信三环程序.cpp (三环通信程序)

#include <stdio.h>
#include<windows.h>

typedef struct _IO_STATUS_BLOCK {
	union {
		ULONG Status;
		PVOID Pointer;
	};

	ULONG_PTR Information;
} IO_STATUS_BLOCK, * PIO_STATUS_BLOCK;

typedef struct _CommPackage
{
	ULONG64 Id; 
	ULONG64 cmd;
	ULONG64 Data;
	ULONG64 Size;
	ULONG64 retStatus;
}CommPackage, * PCommPackage;

typedef ULONG(WINAPI* NtQueryInformationFileProc)(
	__in HANDLE FileHandle,
	__out PIO_STATUS_BLOCK IoStatusBlock,
	__out_bcount(Length) PVOID FileInformation,
	__in ULONG Length,
	__in ULONG FileInformationClass);

int main()
{
	char a[] = "123";
	PUCHAR b = (PUCHAR)a;

	NtQueryInformationFileProc NtQueryInformationFile = (NtQueryInformationFileProc)GetProcAddress(GetModuleHandleA("ntdll"),"NtQueryInformationFile");
	if (NtQueryInformationFile == NULL)
	{
		printf("NtQueryInformationFile获取失败!\n");
		system("pause");
		return 0;
	}
	IO_STATUS_BLOCK is = { 0 };
	char buf[0xFF] = { 0 };
	PCommPackage package = (PCommPackage)buf;
	package->Id = 0x12345678;
	package->cmd = 1;

	HANDLE handle = CreateFileA("C:\\1.txt", FILE_ALL_ACCESS, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
	system("pause");
	NtQueryInformationFile(handle, &is, buf, sizeof(buf), 0x34);
	CloseHandle(handle);
	system("pause");
}

参考文献

某超级注入程序的驱动逆向
火哥内核视频

mi-key
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
飓风内核项目大纲1
08-03
1. 异步块设备驱动及其异步系统调用接口 2. 异步的FAT32文件系统 3. 共享调度器 4. 异步互斥锁和基于管道的异步通信
11111
2301_79280472的博客
08-14 151
【代码】11111。
BadSqlGrammarException PreparedStatementCallback bad SQL grammar
想握住此生辽阔
06-27 7921
解决方法,检查一下sql语句有没有语法错误,或者你插入的表名称是不是谢谢错了
3.3 同步技术 :事件对象
it技术学习
07-25 1701
3.3.1 事件对象 使用事件对象是一种常见的同步方法。驱动程序可以使用事件对象同步完成IRP,或者驱动线程间同步执行某些操作。 要使用事件对象,首先需要调用KeInitializeEvent, IoCreateNotificationEvent或者IoCreateSynchronizationEvent初始化事件。KeInitializeEvent函数原型: VOID KeInitiali
英文不好也能快速"记忆" API
08-27 342
英文不好不要紧,把API函数导入打字练习类软件,即是练习打字速度,提高编程效率;也能短时间记忆API。 坚持每天打一遍,约2小时,连续打两周,会对API有很好的记忆,此方法是结合英文学习方法!以下是Window API函数例表,大家可以试试效果特别好! AbnormalTermination AbortDoc AbortPath AbortPrinter ...
salesforce lightning零基础学习(十二) 自定义Lookup组件的实现
li123128的博客
03-24 533
本篇中的组件主要有以下几个功能: 1. 当输入两位以上字符情况下,从后台数据库检索并且放在搜索框列表中展示; 2. 当选中搜索框列表中某个指定的单元后,选中的单元会以pill的方式展示在输入框中,同时输入框隐藏,列表选择框隐藏; 3. 删除选中的单元以后,输入框变成可用状态。 实现方式如下: 包打开的结构如下: 2. 创建svg.component,用于显示slds提供的ico...
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2368
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
Windows系统通用回调
whl0071的专栏
02-04 1651
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine ...
驱动开发内核监控Register注册表回调
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控,注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
dump文件,windbg
热门推荐
chinabinlang的专栏
10-29 2万+
dump文件,在VC中的调试还是非常非常非常有用的,因为我们也不会经每一行代码都加上日志,当然如果你愿意,也可以每一行都加上日志; 在Windows上,添加dump文件有两种方法: 方法一:一个是在程序中添加代码; 方法二:修改注册表(参考后面的bat文件写法,在win7上用管理员程序运行);建议用这个方法,方便实用;(http://blog.csdn.net/hgy413/article/...
KernelModeMonitor:内核模式驱动程序和用户模式应用程序通信项目
05-11
内核模式监视器内核模式驱动程序和用户模式应用程序通信项目。 由于存在加载到内核并与用户模式应用程序交换数据的驱动程序,因此在较低级别与操作系统本身进行交互非常有用。 可用的插件流程浏览器:列出流程信息,...
开源项目4-FreeNOS-master_C++_freenos_微内核_
10-04
这是一个用C++实现的微内核的操作系统,各种宏内核中的服务作为一个独立的services在微内核中,基于消息的通信方式,
stm32h7-dual-core-inter-cpu-async-communication:STM32H7双核设备上Cortex-M7和Cortex-M4内核之间的CPU间异步通信
04-10
2个内核(ARM Cortex-M7和ARM-Cortex-M4内核)之间的处理器间通信的示例项目。 这个怎么运作 该示例演示了如何在两个内核之间实现通信以交换数据。 它使用共享RAM和2单独的环形缓冲区,在两个方向上的作用类似于管道...
matlab状态枚举法代码-JupyterKernelManager:管理Jupyter内核的启动和通信
05-27
项目仅在Windows操作系统上使用.NET 4.5.1进行了测试。 假定您具有Visual Studio 2017或更高版本(这将与Community Edition一起使用) 正在安装 在要合并Jupyter内核功能的Visual Studio中打开解决方案。 有关示例...
C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)
weixin_34405332的博客
02-14 153
译文,个人原创,转载请注明出处(C# 6 与 .NET Core 1.0 高级编程 - 39 章 Windows 服务(上)),不对的地方欢迎指出与交流。 章节出自《Professional C# 6 and .NET Core 1.0》。水平有限,各位阅读时仔细分辨,唯望莫误人子弟。 附英文版原文:Professional C# 6 and .NET Core 1.0 - Chapte...
Linux内核调试方法总结
yumiano0的博客
02-05 1223
https://www.cnblogs.com/cslunatic/p/3639099.html 【转】Linux内核调试方法总结 目录[-] 一 调试前的准备 二 内核中的bug 三 内核调试配置选项 1 内核配置 2 调试原子操作 四 引发bug并打印信息 1 BUG()和BUG_ON() 2 dump_stack() 五 printk() 1 printk函数的健壮性 2 printk函数脆弱之处 3 LOG等级 4 记录缓冲区 5 sysl...
ansible批量管理
Mr_Black0_0的博客
05-07 975
Ansible的设计基于模块化的架构,具有丰富的模块库,可以执行各种任务,从系统管理到应用部署等。:Ansible提供了丰富的插件和扩展机制,可以轻松地扩展其功能,满足不同场景和需求的自动化要求。:Ansible提供了丰富的API和编程接口,可以与其他工具和系统集成,实现自动化的定制化需求。:Ansible的自动化任务是面向任务的,可以按需执行特定的任务,避免了全局性的操作风险。:Ansible采用无代理的架构,简化了部署和管理过程,减少了系统资源的占用和维护的负担。
ASIL详解
最新发布
xxdw1992的博客
05-08 535
◆通常在项目早期阶段进行,通过对系统/功能进行危害分析和风险评估(HARA)获得◆每一个危险事件都被分配了一个ASIL等级 (从ASIL-A 到 ASIL-D,或QM)◆QM不是一个功能安全等级,它意味着没有特殊性的安全要求,满足质量管理流程即可◆ASIL的选择基于可控性(C)、严重程度(S)和暴露时间(E)例如:安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级(适用于安全保证的最高等级,因为与此类故障相关的风险最高);
Linux0.11内核
04-05
Linux 0.11内核是Linux内核的一个早期版本,它是由芬兰计算机科学家林纳斯·托瓦兹(Linus Torvalds)在1991年编写的。该版本内核是Linux操作系统的第一个可稳定运行的版本,它为后续版本的Linux内核奠定了基础。 Linux 0.11内核是一个微内核,它支持多任务和多用户,并提供了许多基本的操作系统功能,如进程管理、文件系统、内存管理和进程间通信等。该内核还支持一些设备驱动程序,如硬盘驱动程序、串口驱动程序和键盘驱动程序等。 Linux 0.11内核是开源的,任何人都可以查看和修改其源代码。该内核的源代码非常紧凑,总共只有10万行左右。这使得它在早期的个人计算机上表现良好,为Linux操作系统的发展奠定了基础。 今天,Linux已经成为世界上最流行的操作系统之一,其内核也已经发展成为一个庞大的项目,拥有数百万行代码和数千名开发者。然而,Linux 0.11内核作为Linux操作系统的起点,仍然具有重要的历史意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值