03 特征码搜索PspTerminateProcess函数、隐藏驱动模块

已于 2023-05-06 17:07:36 修改
阅读量319 收藏 2
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发 windows
于 2023-04-28 14:38:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130422157
版权

导出函数 PspTerminateProcess 杀掉进程

模块基址 + 函数偏移

不能直接写函数地址,因为有可能dll占不到位置,会进行重定位
函数地址
在这里插入图片描述

// 函数声明
typedef NTSTATUS(__stdcall *_PspTerminateProcess)(PEPROCESS pEprocess, NTSTATUS ExitCode);
_PspTerminateProcess pspTerminateProcess;

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	UINT32 base = NULL;
	LIST_ENTRY* list = (LIST_ENTRY*)pDriver->DriverSection;
	LIST_ENTRY* current_entry = list;
	UNICODE_STRING ntName;
	RtlInitUnicodeString(&ntName, L"ntoskrnl.exe");
	while (1)
	{
		PUNICODE_STRING name = (PUNICODE_STRING)((UINT32)current_entry + 0x2c);
		if (RtlCompareUnicodeString(name,&ntName,FALSE) == 0)
		{
			base = *(UINT32*)((UINT32)current_entry + 0x18);
			break;
		}
		current_entry = current_entry->Blink;
	}
	DbgPrint("dllbase : %08x\n", base);
	DbgPrint("dllbaseName : %wZ\n", &ntName);
	if (base)
	{
		pspTerminateProcess = (_PspTerminateProcess)(base + 0x157050);//dll基址 - 函数地址
		pspTerminateProcess(0x894f4548,0); //这个需要在winDbg(! process 0 0)中查看你进程的process后面的值
	}
	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}

特征码搜索

找到该函数的特征码
前面的0x6个字节是通用的,不具备特殊性,就排除,选取下面一部分的就可以了
在这里插入图片描述

#include <ntddk.h>

// 函数声明
typedef NTSTATUS(__stdcall *_PspTerminateProcess)(PEPROCESS pEprocess, NTSTATUS ExitCode);
_PspTerminateProcess pspTerminateProcess = NULL;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	try {

		UINT32 shellcode[] = {
			0x0124a164,0x758b0000,0x44703b08,0x0db80775,
			0xebc00000,0xbe8d575a,0x00000248,0x200147f6,
			0x868d1274,0x00000174,0xca685650,0xe88062f0
		};

		UINT32 shellcodeLength = sizeof(shellcode);

		UINT32 base = NULL;
		UINT32 baseSize = NULL;
		UNICODE_STRING baseName;

		LIST_ENTRY* current_entry = (LIST_ENTRY*)pDriver->DriverSection;

		UNICODE_STRING ntName;
		RtlInitUnicodeString(&ntName, L"ntoskrnl.exe");

		while (1)
		{
			base = *(UINT32*)((UINT32)current_entry + 0x18);
			baseSize = *(UINT32*)((UINT32)current_entry + 0x20);
			baseName =*(PUNICODE_STRING)((UINT32)current_entry + 0x2c);
			if (RtlCompareUnicodeString(&ntName,&baseName,TRUE) == 0)
			{
				for (int i = base; i < base + baseSize - shellcodeLength; i++)
				{
					if (RtlCompareMemory(shellcode,i, shellcodeLength) == shellcodeLength)
					{
						pspTerminateProcess = (_PspTerminateProcess)(i - 0x6);
						break;
					}
				}
				break;
			}
			current_entry = current_entry->Blink;
		}

		DbgPrint("dllbase : %08x\n", base);
		DbgPrint("dllbaseName : %wZ\n", ntName);
		DbgPrint("_PspTerminateProcess address is  : %08x\n", pspTerminateProcess);

		if (pspTerminateProcess)
		{
			pspTerminateProcess(0x89a2a3c0, 0);//这个需要在winDbg(! process 0 0)中查看你进程的process后面的值
		}

	}__except (EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error\n");
	}
	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}

断链 - 隐藏驱动模块

PCHunter还是可以检测到的哦

#include <ntddk.h>

LIST_ENTRY* cur_entry = NULL;
LIST_ENTRY* pre_entry = NULL;
LIST_ENTRY* next_entry = NULL;



VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	pre_entry->Blink = cur_entry;
	next_entry->Flink = cur_entry;
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	pDriver->DriverUnload = DriverUnload;

	cur_entry = (LIST_ENTRY*)pDriver->DriverSection;
	pre_entry = cur_entry->Flink;
	next_entry = cur_entry->Blink;

	//前后entry断开
	pre_entry->Blink = next_entry;
	next_entry->Flink = pre_entry;

	cur_entry->Blink = NULL;
	cur_entry->Flink = NULL;


	DbgPrint("加载并隐藏成功!!!\n");
	
	return STATUS_SUCCESS;
}

在这里插入图片描述

柠檬的泪是酸的@
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发:内核特征搜索函数封装
06-03 251
集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代码,本章内容中将重点分析,并实现一个。链表头部地址为案例进行讲解,如果你忘记了如何寻找链表头部可以去前面的文章中学习,这里只给出实现流程。如上图可以看到,这个特征码定位函数返回的是内存地址,而我们需要得到地址内的数据,此时就需要提取以下。如下是一段特征搜索片段,可以看到其实仅仅只是将上章中的搜索方式变成了一个。以及搜索特征码的字节数组,即可完成搜索工作,具体的参数定义如下。函数,如下函数,用户传入一个。
inline hook未导出函数PspTerminateProcess
04-14 1594
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
5.内核空间与内核模块
Mikasys的博客
10-25 378
0x5内核空间与内核模块 1.内核空间 对于低2G,每个进程是独立的,而高2G是共享的 如果在一个驱动中定义一个变量,然后能够在另一个驱动中进行读取,那就说明高2G确实是所有程序共用的! #include <ntddk.h> //卸载函数 VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("驱动程序停止运行了.\r\n"); } ULONG x = 0x12345678; //入口函数,相当于main NTSTATUS Driver
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1103
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
[转](37)0环与3环通信,PspTerminateProcess 关闭进程工具
weixin_41875267的博客
11-17 338
一、设备对象和3环窗口对象的类比 3环窗口程序中的MSG结构体和窗口对象,与0环的设备对象和IRP结构体的关系有点像: 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 驱动程序原本的目的是用来控制硬件,但我们也可以用驱动做一些安全相关的事情,因为驱动运行在0环。为了控...
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6707
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
[转](36)内核空间与内核模块
weixin_41875267的博客
11-17 263
一、内核空间 每个进程的低2G都是独立的,而高2G是共享的。 我们可以做一个小实验,在一个进程的高2G定义申请一块内存,去另一个进程里,用相同的线性地址读取,会发现是同一块物理内存。 驱动A #include <ntddk.h> NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path); VOID DriverUnload(PDRIVER_OBJECT drive...
6.ring0与ring3通信
Mikasys的博客
10-27 501
0x6 ring0与ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
进程强杀探究
hongduilanjun的博客
03-07 2033
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
强删文件,强杀进程,文件注册表穿越
05-16 941
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
IceLight V1.3.44[一线光-无驱,恢复SSDT,可杀IS,SS]
04-04
系统 <br>1,进程\线程中增加了挂起与恢复功能, 2,不使用驱动,通杀隐藏进程,侦测伪PID,查看、恢复SSDT 3,具有网络查看,服务,检测功能. <br>三.自启动 <br>这是一个新增的模块区域,主要用来管理系统中...
windows USB 设备驱动开发-创建安装 Winusb.sys 的驱动程序包
苏洛的博客
07-27 452
要将 WinUSB 用作设备的功能驱动程序,请创建一个驱动程序包
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第五十八章 中断下文之tasklet
BeiJingXunWei的博客
07-26 1078
tasklet 采用无差别的队列机制,有中断时才执行,免去了循环查表之苦,tasklet 机制的优点:无类型数量限制,效率高,无需循环查表,支持 SMP 机制,一种特定类型的 tasklet只能运行在一个 CPU 上,不能并行,只能串行执行。如果要使用 tasklet,必须先定义一个 tasklet,然后使用 tasklet_init 函数初始化 tasklet,taskled_init 函。为了提高中断处理数量,顺道改。如上图所示,和我们预期结果是一样的,先打印start,再打印end,再打印0-99。
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第五十七章 Linux中断实验
BeiJingXunWei的博客
07-26 662
i.MX8MM处理器采用了先进的14LPCFinFET工艺,提供更快的速度和更高的电源效率;四核Cortex-A53,单核Cortex-M4,多达五个内核 ,主频高达1.8GHz,2G DDR4内存、8G EMMC存储。千兆工业级以太网、MIPI-DSI、USB HOST、WIFI/BT、4G模块、CAN、RS485等接口一应俱全。H264、VP8视频硬编码,H.264、H.265、VP8、VP9视频硬解码,并提供相关历程,支持8路PDM接口、5路SAI接口、2路Speaker。系统支持Android9.0
18.jdk源码阅读之CopyOnWriteArrayList
前端、移动端、后端源码级底层原理分享
07-25 707
CopyOnWriteArrayList 是 Java 中的一种线程安全的 List 实现,基于“写时复制”(Copy-On-Write)机制。
【力扣练习题】C语言答案
m0_65146517的博客
07-24 611
4、判断两数大小,p小于等于q返回p,p->next递归调用函数。2、遍历判断两个链表的单个值,用尾插法将小的值代入链表。1、如果q为NULL,p为NULL;3、如果遇到大于100000的数则返回true;5、否则返回q,q->next递归调用函数。1、将所有遍历过的值全部替换为100001。2、判断如果遇到NULL则返回false。3、如果p为NULL,返回 q;2、如果q为NULL,返回p;
Java 中集合的练习
m0_46977298的博客
07-25 301
需求:定义一个Map集合,键用表示省份名称province,值表示市city,但是市会有多个。分析:使用remove方法模拟点到的学生,并将其添加到一个新的集合中,点名结束后重新将其赋给原始集合,再次循环。需求:班级里有N个学生,被点到的学生不会再被点到。需求:班级里有N个学生。要求在随机的时候,70%的概率随机到男生,30%的概率随机到女生。江苏省 = 南京市,扬州市,苏州市,无锡市,常州市。湖北省 = 武汉市,孝感市,十堰市,宜昌市,鄂州市。需求:班级里有N个学生,实现随机点名器。
2024.7.19 作业
qq_64434282的博客
07-19 2847
【代码】2024.7.19 作业。
chromedriver-mac-arm64_126.0.6474.0.zip
最新发布
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值