03 特征码搜索PspTerminateProcess函数、隐藏驱动模块

已于 2023-05-06 17:07:36 修改
阅读量369 收藏 2
点赞数
分类专栏: 驱动开发 文章标签: 驱动开发 windows
于 2023-04-28 14:38:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130422157
版权
文章描述了一种方法来动态查找并调用系统函数PspTerminateProcess,通过遍历驱动段寻找ntoskrnl.exe基地址,然后使用特征码匹配找到函数入口。此外,还提到了隐藏驱动模块的技巧,以及在异常处理中执行的代码流程。
摘要由CSDN通过智能技术生成

导出函数 PspTerminateProcess 杀掉进程

模块基址 + 函数偏移

不能直接写函数地址,因为有可能dll占不到位置,会进行重定位
函数地址
在这里插入图片描述

// 函数声明
typedef NTSTATUS(__stdcall *_PspTerminateProcess)(PEPROCESS pEprocess, NTSTATUS ExitCode);
_PspTerminateProcess pspTerminateProcess;

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	UINT32 base = NULL;
	LIST_ENTRY* list = (LIST_ENTRY*)pDriver->DriverSection;
	LIST_ENTRY* current_entry = list;
	UNICODE_STRING ntName;
	RtlInitUnicodeString(&ntName, L"ntoskrnl.exe");
	while (1)
	{
		PUNICODE_STRING name = (PUNICODE_STRING)((UINT32)current_entry + 0x2c);
		if (RtlCompareUnicodeString(name,&ntName,FALSE) == 0)
		{
			base = *(UINT32*)((UINT32)current_entry + 0x18);
			break;
		}
		current_entry = current_entry->Blink;
	}
	DbgPrint("dllbase : %08x\n", base);
	DbgPrint("dllbaseName : %wZ\n", &ntName);
	if (base)
	{
		pspTerminateProcess = (_PspTerminateProcess)(base + 0x157050);//dll基址 - 函数地址
		pspTerminateProcess(0x894f4548,0); //这个需要在winDbg(! process 0 0)中查看你进程的process后面的值
	}
	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}

特征码搜索

找到该函数的特征码
前面的0x6个字节是通用的,不具备特殊性,就排除,选取下面一部分的就可以了
在这里插入图片描述

#include <ntddk.h>

// 函数声明
typedef NTSTATUS(__stdcall *_PspTerminateProcess)(PEPROCESS pEprocess, NTSTATUS ExitCode);
_PspTerminateProcess pspTerminateProcess = NULL;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{
	try {

		UINT32 shellcode[] = {
			0x0124a164,0x758b0000,0x44703b08,0x0db80775,
			0xebc00000,0xbe8d575a,0x00000248,0x200147f6,
			0x868d1274,0x00000174,0xca685650,0xe88062f0
		};

		UINT32 shellcodeLength = sizeof(shellcode);

		UINT32 base = NULL;
		UINT32 baseSize = NULL;
		UNICODE_STRING baseName;

		LIST_ENTRY* current_entry = (LIST_ENTRY*)pDriver->DriverSection;

		UNICODE_STRING ntName;
		RtlInitUnicodeString(&ntName, L"ntoskrnl.exe");

		while (1)
		{
			base = *(UINT32*)((UINT32)current_entry + 0x18);
			baseSize = *(UINT32*)((UINT32)current_entry + 0x20);
			baseName =*(PUNICODE_STRING)((UINT32)current_entry + 0x2c);
			if (RtlCompareUnicodeString(&ntName,&baseName,TRUE) == 0)
			{
				for (int i = base; i < base + baseSize - shellcodeLength; i++)
				{
					if (RtlCompareMemory(shellcode,i, shellcodeLength) == shellcodeLength)
					{
						pspTerminateProcess = (_PspTerminateProcess)(i - 0x6);
						break;
					}
				}
				break;
			}
			current_entry = current_entry->Blink;
		}

		DbgPrint("dllbase : %08x\n", base);
		DbgPrint("dllbaseName : %wZ\n", ntName);
		DbgPrint("_PspTerminateProcess address is  : %08x\n", pspTerminateProcess);

		if (pspTerminateProcess)
		{
			pspTerminateProcess(0x89a2a3c0, 0);//这个需要在winDbg(! process 0 0)中查看你进程的process后面的值
		}

	}__except (EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error\n");
	}
	pDriver->DriverUnload = DriverUnload;	
	return STATUS_SUCCESS;
}

断链 - 隐藏驱动模块

PCHunter还是可以检测到的哦

#include <ntddk.h>

LIST_ENTRY* cur_entry = NULL;
LIST_ENTRY* pre_entry = NULL;
LIST_ENTRY* next_entry = NULL;



VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	pre_entry->Blink = cur_entry;
	next_entry->Flink = cur_entry;
	DbgPrint("over\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	pDriver->DriverUnload = DriverUnload;

	cur_entry = (LIST_ENTRY*)pDriver->DriverSection;
	pre_entry = cur_entry->Flink;
	next_entry = cur_entry->Blink;

	//前后entry断开
	pre_entry->Blink = next_entry;
	next_entry->Flink = pre_entry;

	cur_entry->Blink = NULL;
	cur_entry->Flink = NULL;


	DbgPrint("加载并隐藏成功!!!\n");
	
	return STATUS_SUCCESS;
}

在这里插入图片描述

柠檬的泪是酸的@
关注
专栏目录
inline hook未导出函数PspTerminateProcess
04-14 1620
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1200
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代实现 主要功能:用户输入PID,r
驱动开发:内核特征搜索函数封装
热门推荐
CSDN
10-17 2万+
在前面的系列教程如`《驱动开发:内核枚举DpcTimer定时器》`或者`《驱动开发:内核枚举IoTimer定时器》`里面`LyShark`大量使用了`特征定位`这一方法来寻找符合条件的`汇编指令`集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代,本章内容中将重点分析,并实现一个`通用`特征定位函数
特征搜索模块
03-17
易 语 言 特 征 搜 索 模 块 易 语 言 特 征 搜 索 模 块
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 309
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
易语言x64位特征搜索技术(可搜索全内存范围0-7FFFFFFFFFFFFFFF)
hzw320的博客
10-22 8262
新模块里面我开发加入了对x64游戏操作的很多功能。 今天我来讲解下其中一个方面的功能,就是特征搜索方面的, 目前已经发布的模块版本中虽然有特征搜索的命令,但仅限于32位的程序使用, 所以对64位游戏进行特征定位搜索也是需要一个这样的功能的, 因为很多写64位游戏的用户需要更新辅助里各种基址, 就会需要用到特征来快速更新辅助所需的基址信息,所以这个功能也是尤为重要的。 为了方便使用我们Game-EC 驱动模块的人, 快速找到自己需要的命令名称,所以凡事对x64程序操作的命令名称我在模块里命令都以: x
易语言-内存特征搜索
06-29
只支持 01 ?? 01 ??  或 01??01?? 这种类型特征最主要目的是演示如何提高搜索的效率而已 当然我只是做了一小段的优化处理 这并不可能百分百提高或许还会拖慢搜索的效率 最后呢,如果想提高效率就多动动脑做前期的处理 如果你直接按着顺序来的话 1 过 2 过 3 那我没话可说了, 懂了吗
内存搜索超速(特征搜索模块,支持通配符)
06-20
易语言模块,内存搜索超速,特征搜索模块,支持通配符 比内存模糊搜索x64,内存搜索极速还快十倍不止! 是内存搜索的最佳模块,没有之一! 经过测试搜索植物大战僵尸0-FFFFFFFF只需要1秒! 仅供学习交流,请勿用于非法用途!
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6783
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
6.ring0与ring3通信
Mikasys的博客
10-27 558
0x6 ring0与ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
易语言源易语言搜索定位内存特征.rar
03-31
易语言源易语言搜索定位内存特征.rar
特征搜索工具
04-13
http://blog.csdn.net/foolpanda1168/archive/2008/04/13/2288884.aspx 后面地址,修改了进程名bug,应该忽略大小写。 http://download.csdn.net/source/415342 加了进度条 http://download.csdn.net/source/417341
易语言搜索定位内存特征
06-01
易语言搜索定位内存特征。Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。注意:测试代为查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代)。模块加载call调用(在开发插件的小伙伴可以直接使用)。@易语言学习论坛-ybhacker。
易语言-易语言搜索定位内存特征
06-25
易语言搜索定位内存特征 Sunday算法是Daniel M.Sunday于1990年提出的字符串模式匹配。其核心思想是:在匹配过程中,模式串发现不匹配时,算法能跳过尽可能多的字符以进行下一步的匹配,从而提高了匹配效率。 注意:测试代为查找易语言e.exe模块加载call需要的地址(EP助手里面扣出来的演示代) 模块加载call调用(在开发插件的小伙伴可以直接使用)
易语言内存特征搜索
08-02
易语言内存特征搜索 -The easy language memory signatures Search source easy language memory signature search source
进程强杀探究
hongduilanjun的博客
03-07 2142
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5602
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcessPspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
易语言驱动特征搜索内存技术
最新发布
hzw320的博客
06-25 269
它可以根据特征搜索有保护和无保护的游戏进程中的指定数据定位
PspTerminateProcess 结束冰刃进程
十年磨一剑,霜刃未曾试!
03-31 1860
#include typedef  NTSTATUS  (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus );PSPTERPROC MyPspTerminateProcess ;NTSTATUSPsLookupProcessByProcessId(                        IN HANDLE ProcessId,  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值