拦截驱动加载

最新推荐文章于 2022-10-26 14:24:18 发布
最新推荐文章于 2022-10-26 14:24:18 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: Windows内核研究 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/120100945
版权

思路

简单粗暴,直接注册一个模块监听,然后当目标驱动加载时hook它的驱动加载函数,直接返回成功,对付一下比较简单的驱动保护效果屡试不爽

获取DriverEntry

PVOID GetDriverEntryByImageBase(PVOID ImageBase)
{
	PIMAGE_DOS_HEADER pDOSHeader;
	PIMAGE_NT_HEADERS64 pNTHeader;
	PVOID pEntryPoint;
	pDOSHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNTHeader = (PIMAGE_NT_HEADERS64)((ULONG64)ImageBase + pDOSHeader->e_lfanew);
	pEntryPoint = (PVOID)((ULONG64)ImageBase + pNTHeader->OptionalHeader.AddressOfEntryPoint);
	return pEntryPoint;
}

监视模块加载 ProcessId 为0则是加载驱动,否者是dll

VOID UnicodeToChar(PUNICODE_STRING dst, char* src)
{
	ANSI_STRING string;
	if (!src || !dst || !dst->Buffer) return;
	if (RtlUnicodeStringToAnsiString(&string, dst, TRUE) == STATUS_SUCCESS) {
		strcpy(src, string.Buffer);
		RtlFreeAnsiString(&string);
	}
}

VOID LoadImageNotifyRoutine
(
	__in_opt PUNICODE_STRING  FullImageName,
	__in HANDLE  ProcessId,
	__in PIMAGE_INFO  ImageInfo
)
{
	PVOID pDrvEntry;
	char szFullImageName[260] = { 0 };
	if (FullImageName != NULL && MmIsAddressValid(FullImageName))
	{
		if (ProcessId == 0)
		{
			pDrvEntry = GetDriverEntryByImageBase(ImageInfo->ImageBase);
			UnicodeToChar(FullImageName, szFullImageName);
			if (strstr(_strlwr(szFullImageName), "目标驱动或者dll名称,不带后缀名"))
			{
				Log("拦截驱动 [%s]", szFullImageName);
				DenyLoadDriver(pDrvEntry);
				return;
			}
		}
	}
}

注册回调

PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);

HOOK

KIRQL 关闭写保护()
{
	KIRQL irql = KeRaiseIrqlToDpcLevel();
	ULONG_PTR cr0 = __readcr0();

	cr0 &= 0xfffffffffffeffff;
	_disable();
	__writecr0(cr0);

	return irql;
}
VOID 开启写保护(KIRQL irql)
{

	ULONG_PTR cr0 = __readcr0();
	cr0 |= 0x10000;
	__writecr0(cr0);
	_enable();

	KeLowerIrql(irql);
}

NTSTATUS FakeDriverEntry(IN PDRIVER_OBJECT MyDriver, IN PUNICODE_STRING RegistryPath)
{
	//MyDriver->DriverUnload = FakeDriverUnLoad;
	return STATUS_SUCCESS;
}

void DenyLoadDriver(PVOID DriverEntry)
{
	KIRQL irql = 关闭写保护();
	RtlCopyMemory(DriverEntry, (PCHAR)FakeDriverEntry, 32);
	开启写保护(irql);
}
吾无法无天
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1066
PsSetLoadImageNotifyRoutine#include <ntifs.h>#include <ntddk.h>#include <Ntstrsafe.h>#include <fltKernel.h>//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
windbg拦截驱动
weixin_34244102的博客
01-26 242
驱动加载有几种方式,查看CreateService就可以知道。 1、SERVICE_BOOT_START=0x00000000,被系统loader加载,这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下,因为此时系统只能读注册表,不能打开文件,不能打出调试信息。看了下面的分析就清楚了。 2、SERVICE_SYSTEM...
驱动防火墙,可以拦截驱动加载
11-29
非常好用的拦截加载驱动的工具,可以拦截驱动加载
拦截驱动文件,最好用的驱动拦截小工具
07-19
拦截驱动文件 安装任何软件安装驱动!最好用的驱动拦截小工具
网吧驱动拦截解决方案,网吧有效加载驱动
04-27
网吧驱动拦截解决方案,网吧有效加载驱动,网吧驱动拦截解决方案,网吧有效加载驱动
易语言加载驱动防止进程关闭源码-易语言
06-13
`demo.e`是易语言的源代码文件,里面包含了实现驱动加载和进程保护逻辑的代码。`Anti_Kill.sys`则是编译后的驱动程序文件,它将在系统中运行以提供进程保护功能。 在`demo.e`中,你可以看到易语言的源代码结构,...
驱动拦截工具Safe3Monitor
04-08
杀毒软件等都不能拦截所以驱动,这个是可以拦截的,可以拦截驱动加载,而可以获得驱动文件来静态分析的好工具,虽说不能拦截所有驱动,但常规的都没问题,我想应该能满足大部分人的需求,不过最好要是纯净的系统,...
易语言创建拦截文件
07-21
易语言创建拦截文件源码,创建拦截文件,取驱动句柄,加载驱动_,卸载驱动_,CTL_CODE,十六到十,NtQuerySystemInformation,LocalAlloc,LocalFree,SYSTEM_MODULE_INFORMATION,LoadLibraryEx,FreeLibrary,GetProcAddress,...
易语言拦截DLL注入源码
02-22
易语言拦截注入源码 可拦截360 完全API
函数拦截DLL,函数拦截测试共2部分程序.rar
09-09
函数拦截DLL,函数拦截测试共2部分程序
Windows驱动加载工具DriverMonitor
01-10
Windwos驱动加载工具DriverMonitor,非常的好用。DriverStudio下的DriverMonitor.exe驱动加载调试工具。密码123
Windows注入与拦截(6) -- 从内存中加载DLL
热门推荐
while(1) { smile(); }
04-09 4万+
Windows提供的API(LoadLibrary, LoadLibraryEx)只支持从文件系统上加载DLL文件,我们无法使用这些API从内存中加载DLL。 但是有些时候,我们的确需要从内存中加载DLL,比如: 对发布的文件数量有限制。我们可以将DLL打包到exe的资源中,程序运行时从调用LoadResource等API读取DLL文件到内存中,然后从内存中加载DLL。 需要对DLL进行压缩...
驱动开发:内核运用LoadImage屏蔽驱动
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
驱动开发:内核监视LoadImage映像回调
CSDN
10-25 8988
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
DLL注入和API拦截
jaken99的专栏
07-28 1128
Windows中,每个进程有自己的私有地址空间。当我们用指针来引用内存的时候,指针的值表示的是进程自己的地址空间中的一个内存地址。进程不能创建一个指针来引用属于其它进程的内存。因此,如果进程有一个缺陷会覆盖随机地址处的内存,那么这个缺陷不会影响到其它进程所使用的内存。      独立的地址空间对开发人员和用户都是非常有利的。对开发人员来说,系统更有可能捕获错误的内存读/写。对用户来说,操作系
Dll注入与API拦截
11-08 396
Dll注入与API拦截
驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载
落笔飞花笑百生的博客
04-27 1674
 #include "ntddk.h" //#include "Ntifs.h" //PVOID NTSTATUS PsSetLoadImageNotifyRoutine(  PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine); NTSTATUS PsRemoveLoadImageNotifyRoutine( __in PLOAD_IMAG
selenium禁止加载视频
最新发布
09-08
### 回答1: 如果你想禁止Selenium加载视频,你可以使用Selenium的ChromeOptions类来设置Chrome浏览器的参数。具体来说,你可以使用以下选项: 1. 禁用自动播放:可以设置chromeOptions.add_argument("--autoplay-policy=no-user-gesture-required") 2. 禁用视频:可以设置chromeOptions.add_argument("--disable-features=VideoPlayback") 下面是一个示例代码: ```python from selenium import webdriver from selenium.webdriver.chrome.options import Options chrome_options = Options() chrome_options.add_argument("--autoplay-policy=no-user-gesture-required") chrome_options.add_argument("--disable-features=VideoPlayback") driver = webdriver.Chrome(chrome_options=chrome_options) ``` 这个代码将创建一个禁止自动播放和加载视频的Chrome浏览器实例。 ### 回答2: Selenium是一种用于自动化测试的工具,它可以模拟真实用户的行为来执行浏览器操作。然而,Selenium本身并没有提供直接禁止加载视频的功能,因为它更多是用于测试网页的功能和交互而非限制网页内容。 要禁止加载视频,可以通过其他方式来实现。一种方法是使用浏览器插件或扩展程序,例如AdBlock Plus或uBlock Origin等广告拦截插件。这些插件通常允许用户自定义屏蔽不想看到的内容,包括视频广告。 另一种方法是使用Selenium结合浏览器驱动程序进行自定义设置。例如,可以使用Chrome驱动程序来控制Chrome浏览器的行为。可以在初始化WebDriver时传递一些参数来控制浏览器的加载行为。通过在启动浏览器时使用参数"--disable-plugins"可以禁用浏览器的插件,这样就可以阻止加载包括视频插件在内的所有插件。 另外,还可以使用Selenium操作浏览器的设置菜单,然后手动禁用视频加载。通过模拟用户操作的方式,可以打开浏览器设置页面,找到与视频相关的选项,然后禁用它们。这种方法比较繁琐,但也是一种可行的方式。 总结起来,尽管Selenium本身没有提供直接禁止加载视频的功能,但可以通过浏览器插件、自定义浏览器驱动参数或操作浏览器设置来达到这个目的。具体的方法取决于使用的工具和所需的精确控制程度。 ### 回答3: Selenium是一种用于自动化Web浏览器行为的工具。由于Selenium是用于测试和自动化的目的,因此它无法直接控制网站上的视频播放。但是,我们可以通过一些方法来禁止加载视频。 首先,我们可以通过使用Selenium控制浏览器的设置来禁止加载视频。对于大多数浏览器,可以使用Selenium提供的选项,如ChromeOptions或FirefoxOptions,来设置其属性。可以设置以下属性来禁止视频加载: 1. 对于Chrome浏览器,我们可以创建一个ChromeOptions对象,并使用add_argument方法来设置"--disable-gpu"和"--disable-features=VideoPlayback"参数。这将禁用GPU加速和视频回放功能。 2. 对于Firefox浏览器,我们可以创建一个FirefoxOptions对象,并使用add_argument方法来设置"media.autoplay.enabled"属性为false。这将禁止自动播放视频。 除了上述方法,我们还可以通过禁用浏览器插件来禁止加载视频。可以使用Selenium的execute_script方法执行JavaScript代码来禁用插件。以下是一些示例代码: 1. 对于Chrome浏览器: ```python options.add_argument("--disable-plugins") ``` 2. 对于Firefox浏览器: ```python options.set_preference("plugin.state.flash", 0) ``` 请注意,禁止加载视频可能会因网站的不同而有所不同。因此,具体的实现取决于你要使用Selenium的网站和浏览器类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值