本帖最后由 jy40 于 2020-3-9 10:36 编辑
最近在学习windwos下的驱动编程
开个贴记录一下一些相关的知识点,以及遇到的问题(各种蓝屏的姿势)
配置好VS、WDK以及双机调试环境后,开始学习
首先,从最简单的驱动程序开始,写个Hello World
[C] 纯文本查看 复制代码#include
VOID DriverUnload(PDRIVER_OBJECT pdriver) {
DbgPrint("Unload Success\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING pReg) {
DbgPrint("Hello World\n");
pdriver->DriverUnload = DriverUnload;
return STATUS_SUCCESS;
}
按f7编译生成以后,即可在自己的目录下寻找到 .sys后缀的文件,这就是我们生成的驱动文件了,同样是pe文件的格式
N~HN`ZT904B`WK`XCV7GD_G.png (19.56 KB, 下载次数: 0)
驱动_hello world
2020-3-8 22:10 上传
此时进入我们的虚拟机,我这里用的是win xp sp3环境进行驱动开发学习的,将.sys驱动复制进去,使用驱动装载器将我们的驱动装载
驱动装载器可以去github上下载,搜索关键词"DriverLoader"即可搜索到结果,在后续弄明白驱动装载的原理后,也打算实现一个自己的驱动装载工具
(D3MSUFOEIO)3HV33V(G.png (22.37 KB, 下载次数: 0)
2020-3-8 22:18 上传
点击Load即为装载驱动,Unload即为卸载驱动
可以使用DbgView来查看我们的结果,需要在使用的时候按Ctrl+K或者是勾选图中的Capture Kernel选项。
JU~UAK81AU7USJYSX7RYY.png (13.47 KB, 下载次数: 0)
2020-3-8 22:19 上传
当然,这时候踩到了第一个坑,驱动装载后,直接蓝屏了!
原来是由于实验环境是win xp环境,而vs2019默认的目标环境是win10,我们需要在设置里修改目标平台属性
9Z_8ZE6PG{2KYK`2DE`V89D.png (41.6 KB, 下载次数: 0)
2020-3-9 09:16 上传
经过测试,指定目标平台版本为windows 7也可以在win xp系统中运行
ABX[GBQ13K7{3YC3(UR3GN8.png (1.18 KB, 下载次数: 0)
2020-3-9 09:19 上传
再次装载驱动,即可在DbgView中看到打印出的Hello World字符
第一个程序所包含的知识点
DriverEntry:
该函数就相当于C语言中的main函数,相当于驱动模块的入口点,在装载驱动的时候执行其中的代码。该函数有两个参数,一个是驱动对象的指针pDriver,该结构会在后续为大家介绍,还有一个参数是指向UNICODE字符串的指针,储存了驱动注册到的注册表目录,可以使用DbgPrint函数以%zW参数输出
DbgPrint:
相当于写3环c程序中的printf程序
DriverUnload:
驱动卸载时所执行的函数,定义后需要在入口函数中将卸载函数的地址赋值给pdriver->DriverUnload
点击驱动装载器的Unload,即可在DbgView中看到结果
}4RCT5V1}9UT)]FZFN(QG.png (9.46 KB, 下载次数: 0)
2020-3-9 09:31 上传
此时,我们的第一个驱动程序的执行周期算是结束了,从装载的时候执行DriverEntry到卸载的时候执行DriverUnload函数,接下来,就是对pDriver对象进行研究
我们可以使用DbgPrint("%X",pdriver);将指针的值打印出来
_27FM[1E{`5PM]RXI8VVIU4.png (6.2 KB, 下载次数: 0)
2020-3-9 09:40 上传
81240DA0就是pDriver对象的地址,在windbg中中断下来,使用dt _DRIVER_OBJECT 81240DA0 指令查看该结构的内容,结果如下
2]G00Z_K1XTC([I5MSNAXLC.png (17.64 KB, 下载次数: 0)
2020-3-9 09:43 上传
可以看到驱动名等一些驱动的参数,比如驱动名,比如驱动的卸载函数的地址,我们反编译一下他
7{0SXNTYX_17H_)@M_8JV_3.png (13.01 KB, 下载次数: 0)
2020-3-9 09:49 上传
可以很清晰的看到调用了一个DbgPrint函数,而push的则是我们的字符串参数,感兴趣的可以自己尝试跟进一下查看字符串的值是否为"Unload Success“
这里我们对DriverSection进行着重研究
DriverSection是个结构体,指向了 _LDR_DATA_TABLE_ENTRY结构,使用dt _LDR_DATA_TABLE_ENTRY 0x8129d4a8 查看结构内容
2013OB8~`~S{E0@%%O25$A4.png (18.5 KB, 下载次数: 0)
2020-3-9 09:55 上传
可以看到在DriverSection结构体的首部是一个链表,查阅资料得知,这是一个指向系统中已经加载驱动的双向链表,我们可以通过遍历这个列表得到系统中已经加载的所有驱动模块,读者可以自己使用dt指令对双向链表的节点进行观察
看到这个,可以进行下拓展,写个驱动模块以遍历出系统中已经安装的驱动名称等信息,或者将自己的驱动节点从该链表中断链以达到隐藏的目的(听说断链技术已经不适用于win 10,会导致蓝屏)
遍历的代码如下
首先需要自己定义一个DriverSection结构体,这个结构体windows未导出
[C] 纯文本查看 复制代码typedef struct _DRIVER_SECTION {
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
USHORT LoadCount;
USHORT TlsIndex;
union {
LIST_ENTRY HashLinks;
struct {
PVOID SectionPointer;
ULONG CheckSum;
};
};
ULONG TimeDateStamp;
PVOID LoadedImports;
PVOID EntryPointActivationContext;
PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg) {
pDriver->DriverUnload = DriverUnload;
PLDR_DATA_TABLE_ENTRY MyDriverList = (PLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
while (1) {
DbgPrint("%wZ", &MyDriverList->BaseDllName);
MyDriverList = MyDriverList->InLoadOrderLinks.Flink;
if (MyDriverList == (PLDR_DATA_TABLE_ENTRY)pDriver->DriverSection) {
DbgPrint("end\n");
break;
}
}
return STATUS_SUCCESS;
}
6S`2BDA2NTHC_FFO`M60F)2.png (27.83 KB, 下载次数: 0)
2020-3-9 10:15 上传
遍历的结果如图所示,就不截全了
驱动断链的代码如下
[C] 纯文本查看 复制代码NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pReg) {
pDriver->DriverUnload = DriverUnload;
PLDR_DATA_TABLE_ENTRY MyDriverList = (PLDR_DATA_TABLE_ENTRY)pDriver->DriverSection;
MyDriverList->InLoadOrderLinks.Blink->Flink = MyDriverList->InLoadOrderLinks.Flink;
MyDriverList->InLoadOrderLinks.Flink->Blink = MyDriverList->InLoadOrderLinks.Blink;
return STATUS_SUCCESS;
}
实验时,先将断链的驱动装载至其中,然后再重新装载遍历驱动对象的模块
实验结果如下
06SW5@K[_QG_%]2A8MXJS18.png (334.03 KB, 下载次数: 0)
2020-3-9 10:20 上传
可以看到无法寻找到我们的HideMyself.sys模块,隐藏成功
然而这种隐藏并不是非常实用的,首先前面提到过的,无法在win10 x64下使用;其次驱动对象pDriver头4个成员的值是固定的,会被内存搜索的方式暴力定位到驱动对象,只能对抗一些API的检索,为了防止被这种方式搜索到,可以考虑将pDriver的头4个成员置零;最后,系统注册一个驱动的时候,除了向该链表添加节点外,还有对注册表进行写入的操作,所以注册表也会暴露驱动模块的存在,要想实现真正的隐藏必须要注意这一点
萌新第一次发帖,如有不足希望大佬提出意见以补足