sys驱动不能是exe_利用内核驱动Dump被保护进程内存镜像

最新推荐文章于 2023-12-19 11:52:02 发布
最新推荐文章于 2023-12-19 11:52:02 发布
阅读量466 收藏 2
点赞数
文章标签: sys驱动不能是exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39686048/article/details/111364999
版权

    以前介绍过的一款工具《开发Dump进程内存镜像、搜索工具ProcessDump》(以前文url:https://mp.weixin.qq.com/s?__biz=MjM5NDcxMDQzNA==&mid=2247484112&idx=1&sn=4c925a3e8fb43419a036f1f7dffab8b0&chksm=a682d41d91f55d0b074ae0746603bcd13c545779206004cc08a2416a06ed19613d87edf09bce&token=563483833&lang=zh_CN#rd)。如图,

7afd24577752b8e0f67094529737147b.png

6099096ce5fcb62f6c81773ee4782fb4.png

是不是有点印象了,嘻嘻。

    在代码里我采用OpenProcess函数来打开进程PID,再Dump出来的方式,

5aa292d9f0811a940f6ca487c550dfcd.png

    这里就产生了一个局限性,即:程序Dump一般进程的内存基本都能转储出来,不会有问题;但如果被Dump的进程是被保护的进程呢,那就dump不出来,失败不成功。

    在完善程序的过程中,发现了“利用内核驱动、Ring0和Ring3层联动的方式”来解决Dump出被保护进程的内存镜像的好东西,特分享出来,完善我那个程序只工作于用户层Ring3的不足之处。

一、利用内核驱动Dump出被保护的进程内存镜像

    作者的初衷:“我无法从Ring3中转储进程。我决定尝试创建一个自定义驱动程序,允许我在不使用OpenProcess的情况下复制进程内存”,恰好满足了我们的另一种情况需求。

1、源码地址:https://github.com/fobricia/KsDumper

编译环境,

  • Win 10 x64 ;

  • Windows Driver Kit (WDK) 10 ;

  •  .NET 4.6.1;

  • Visual Studio 2019;

程序编译后会形成两个文件:ksDumperClient.exe和ksDumperDriver.sys;

    因为涉及到驱动,如果你不熟悉,编译时会有点麻烦,还是用我编译好的吧。

编译好的,放在网盘中,

链接:https://pan.baidu.com/s/1P1ogczKxqjyE2gjaAd8Q6g

提取码:6bf1

2、程序演示图示

fe19448f4774e73016d2d65e9976f1df.gif

这是程序的演示动图,非常形象。

3、运行

如果运行ksDumperClient.exe,会出现程序界面,但没有数据,

c93dc3c84a55cff6aab5560ddde17104.png

  查了下它的说明文档,发现要先加载起驱动文件ksDumperDriver.sys,用sc来加载,结果... ...

755217bce3b33077b7417b91995477cd.png

    由于驱动没有签名,所以始终无法用windows拦截;在网上也搜索了暂时不用数字签名的办法,但还是挺麻烦的。

4、在一次细看文档时,发现作者给出了办法:用一个名为“drvmap”的程序来加载驱动sys,这里给出url,

源码地址:https://github.com/not-wlan/drvmap

这个我也编译好了,放在网盘中,

链接:https://pan.baidu.com/s/1Urve5dPnHAuboS75jmyX6A

提取码:pf3k

二、测试

1、在虚拟机中用drvmap来加载ksDumperDriver.sys;测试环境为win10 x64,不要在本机上测试上,万一有问题,很麻烦。

8da7fd81cf5cabc1b3094e4c97212beb.png

出现这样的界面,说明加载驱动成功了。

2、运行ksDumperClient.exe,

fbc32ddd37058546c6736d7e3236d789.png

    这会有进程内容了,右键选中后导出,这时就跟上面的演示图一样了,不再继续了。

3、这是个涉及到 驱动编程、PE结构重构的源码,有很高的价值,有能力的还是要研究学习下。

    因为内核驱动工作于Ring0底层,从而避开绕过了一些保护手段。

045791761bf40c67b6a759654ae5baaa.png

weixin_39686048
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook内核驱动保护驱动
03-25
hook内核驱动保护驱动里面写的很详细仔细看就 okL
Realtek 8821cu 网卡 Linux 5.x 内核驱动程序
10-03
工作站外置 USB 网卡驱动程序。建议使用 install-driver.sh 进行操作安装,内核更新后不会丢失。也可以使用 make;make install 进行安装。安装过程中如缺少 dkms 等软件包,请先安装。安装完成后需要重新启动机器,...
驱动保护 -- 向被保护内存写数据
weixin_41489908的博客
04-19 151
2、在头文件声明IRP_WriteProcessMemory函数。一、驱动层写数据源码。
windows驱动开发-windbg调试dump文件
黑客三遍猪
07-17 717
设置符号路径 对于WinDbg图形界面,可以点击File | Symbol File Path设置符号路径,多个路径用分号隔开。实际上只需要设置自己的路径,不需要微软的符号表,毕竟出错的是自己的代码,不是微软的代码。 srv*DownstreamStore*http://msdl.microsoft.com/download/symbols;<your path> 设置源代码路径...
驱动开发:内核中实现Dump进程转储
热门推荐
CSDN
10-11 1万+
多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程内存中解码后,我们可以很容易的将内存镜像导出,从而更好的对样本进行分析,当然某些加密壳可能无效但绝大多数情况下是可以被转存的。可以将应用层进程内存空间映射到内核中,要实现内存转储功能我们还是需要使用这个映射函数,只是需要在此函数上增加一些功能而已。这两个参数是必不可少的,至于内核中如何得到指定进程的模块数据,在很早之前的文章。如下代码中使用的就是。
驱动编程获取系统正在运行的进程
yellow的博客
10-07 807
直接贴代码了,在VS2010上面运行通过,记得用Dbgview查看输出 #include "ntddk.h" #define SYSTEMPROCESSINFORMATION 5 //处理进程信息,需要用到这两个结构体 typedef struct _SYSTEM_THREADS { LARGE_INTEGER KernelTime; ...
lsassdump_Lsass.exe_lsassexedump_lsass.dump_dump_dumphash_
09-29
dump lsass.exe 进程
hasp_readers_Hasp4_reader_hasph4dump_glashah4dmp.exe_dumper
09-11
Collection of rare HASP4 dongle dumpers/reading utilities. Very usefull for reversing!
Linux内核设备驱动内核的调试技术笔记整理
09-15
Linux内核调试是系统开发和维护中的重要环节,特别是对于涉及设备驱动的开发,了解和掌握内核调试技术至关重要。本文主要围绕四个关键点展开,包括内核源代码中的调试配置选项、通过宏进行`printk`调试、使用`strace...
浅析Linux下利用coredump技术追查进程崩溃原因
09-14
coredump文件记录了进程崩溃时的内存状态、堆栈信息和其他关键数据,这对于故障排查至关重要。本文将深入探讨如何利用coredump来追查进程崩溃的原因。 首先,我们需要理解什么是coredump。当一个程序在Linux环境下...
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
WI10-进程保护驱动程序源代码,驱动程序级保护为您的应用程序。
KsDumper_rebuild_Kernel_
09-29
Kernelmode dumperFeatures Dump any process main module using a kernel driver (both x86 and x64) Rebuild PE32/PE64 header and sections Works on protected system processes & processes with stripped handles (anti-cheats)
r6s-external-nuklear-socket:使用用于km-um通信的套接字为外部作弊者准备的简单复制粘贴基础,旨在使用drvmap或kdmapper进行手动映射
05-26
R6S外部核插座 使用用于km-um通信的套接字,可以为外部作弊者准备好简单的复制粘贴基础,并打算使用drvmap或kdmapper进行手动映射。 驱动程序是为获胜而准备的:1803-1903。 链接到kdmapper以获得winver:1803-1903。 桂例 该应用程序附带了几个如何做一个很酷的gui的示例:登录面板和gui 字符串加密 使用xor字符串插入字符串: 信息 当前在BE上未检测到作弊,尚未在EAC上测试作弊。 (作弊工作的视频是: : ) 接触 随便使用它。 如果需要帮助,请随时添加我的意见(magnum dong#0481)。
2023驱动保护学习 -- 通过驱动保护进程
weixin_41489908的博客
03-28 471
1、头文件源码,把涉及到的进程权限的常量值都添加进去。4、卸载驱动的时候卸载内存保护
现代dump技术及保护措施[Ms-Rem]
04-25 1208
鄙人拙译现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。无疑,脱壳过程中一个重要的部分就是取得dump。关于dump的取得
梆梆加固之防内存dump分析
移动安全逆向研究
12-17 3764
梆专业版加固技术分析 之防内存 dump内存 dump比较 笼统 ,本篇 只介绍 使用 inotify相关 实现 (以 BB为例)。
Dump文件分析整理
NewNicholas的博客
03-03 7843
1. dump介绍 Dump文件是进程内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。Dump文件是用来给驱动程序编写人员调试驱动程序用的,这种文件必须用专用工具软件打开,比如使用WinDbg、VS打开。 Windows下Dump文件分为两大类,内核模式Dump和用户模式Dump内核模式Dump是操作系统创建的崩溃转储,最经典的就是系统蓝屏,这时候会自动创建内核模式的Dump...
1.驱动SYS开发总结
grp_rainy的专栏
06-13 2375
1.驱动简介 1.1.驱动是什么计算机的外部设备需要和计算机进行数据交换,生产外部设备的厂家如何使计算机和自己的设备交换数据呢,就是通过驱动程序,从设备中读入到计算机中,早期的Win3.1,Win9x设备驱动是vxd,Win NT是kdm, Win2k 统一发展成wdm模式。 1.2.sys文件 sys文件是驱动程序的可执行代码,其扩展名为.sys驱动程序安装后保存在windows/system
crash实战:手把手教你使用crash分析内核dump
最新发布
Elvis Hu的博客
12-19 1318
Kdump是Linux的一种内核崩溃捕获机制,Linux内核遇到致命错误崩溃时会触发Kdump机制将崩溃时的现场保存下来,以便后续分析和故障排查。目前市面上有很多分析Kdump的工具,例如trace32, crash tool,本文介绍crash tool在手机领域的应用,并重点介绍一些实用的技巧。然而,本文的重点并不是介绍crash tool的工作原理和基础命令,也不是为了介绍Kdump转储的原理以及其他Kdump解析工具,如果你对这些内容感兴趣,请参考本文末尾提供的参考文档。 一、为什么要用crash
Setenv NOVAS_FSDB_ENV_DUMP_SEQ_NUM 2是什么意思
06-02
这是一个Shell命令,用于设置环境变量NOVAS_FSDB_ENV_DUMP_SEQ_NUM的值为2。在Unix或Linux操作系统中,可以通过设置环境变量来改变系统的行为。在这个命令中,"Setenv"表示设置环境变量的命令,"NOVAS_FSDB_ENV_DUMP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值