利用IoDriverObjectType控制内核驱动加载

最新推荐文章于 2023-06-17 14:38:30 发布
最新推荐文章于 2023-06-17 14:38:30 发布
阅读量459 收藏
点赞数
分类专栏: 内核 dpdk 文章标签: java linux jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60043341/article/details/126387162
版权
本文介绍了如何监测和控制内核模块加载的新方法,通过分析内核加载驱动过程,发现并利用`ObInsertObject`函数在驱动加载前创建`IoDriverObjectType`对象,注册回调函数以拦截驱动加载。通过实验验证了该方法的有效性,成功实现了对驱动加载的控制,并在调试过程中展示了如何修改驱动的`DriverInit`来阻止驱动加载。
摘要由CSDN通过智能技术生成

在edr或者其他类型的安全软件我们通常要监测当前系统的内核驱动的加载通常使用的方法是PsSetLoadImageNotifyRoutine设置模块加载回调例程来监控ring3模块以及ring0模块的加载,回调函数 eLoadImageNotifyRoutine  的第二个参数判断,如果 PID是0 ,则表示加载驱动,如果PID非零,则表示加载DLL。此方法的优点是:

更底层

方法简单通用

缺点当然也就是函数太底层,第二就是方法太通用几乎做过进程、线程监控的搞安全内核开发的人基本都晓得,也很容易被发现而且也会被摘链,而失效。

本篇文章将会探索一种新方法去监测并且控制内核模块的加载。首先我们要讲解内核加载驱动的过程。

写一个demo的驱动,然后使用VMware双机调试来调试驱动。(VMware双机调试的方法如果不会可以baidu)

连接被调试虚拟机后,在windbg里输入sxe ld demo驱动的名字.sys

然后go,如果加载系统要加载这个驱动windbg会自动停下来。

然后输入kb

可以看到内核里加载的时候会开启一个单独的线程去加载驱动

# RetAddr           : Args to Child                                                           : Call Site

00 fffff800`04b1748d : fffff880`0456b8a0 fffff880`031ac0d0 00000000`00000001 fffff800`04b74dfe : nt!DebugService2+0x5

01 fffff800`04b74ecb : fffff880`031ac000 fffffa80`016de070 fffff880`0456b9b8 00000000`00000007 : nt!DbgLoadImageSymbols+0x4d

02 fffff800`04e47bfd : fffffa80`00eeee20 fffff8a0`0000001c fffff800`04d84a30 fffff880`0456b888 : nt!DbgLoadImageSymbolsUnicode+0x2b

03 fffff800`04e6286b : fffff880`031ac000 fffff880`0456b8f8 00000000`00000000 fffff880`0456b8d8 : nt!MiDriverLoadSucceeded+0x2bd

04 fffff800`04e64ebd : fffff880`0456b9b8 00000000`00000000 00000000`00000000 00000000`00000000 : nt!MmLoadSystemImage+0x80b

05 fffff800`04e65875 : 00000000`00000001 00000000`00000000 00000000`00000000 fffffa80`0231c1e0 : nt!IopLoadDriver+0x44d

06 fffff800`04a8b161 : fffff800`00000000 ffffffff`8000077c fffff800`04e65820 fffffa80`006db040 : nt!IopLoadUnloadDriver+0x55

07 fffff800`04d21166 : 00000000`00000000 fffffa80`006db040 00000000`00000080 fffffa80`006b71d0 : nt!ExpWorkerThread+0x111

08 fffff800`04a5c486 : fffff800`04bf6e80 fffffa80`006db040 fffffa80`006da680 00000000`00000000 : nt!PspSystemThreadStartup+0x5a

09 00000000`00000000 : fffff880`0456c000 fffff880`04566000 fffff880`0456ae60 00000000`00000000 : nt!KiStartSystemThread+0x16

这是调试的时候被断点断下来的堆栈,我们需要回到加载驱动的地方,所以要打开源代码,在驱动的入口点Dr

最低0.47元/天 解锁文章
DPDK技术员
关注
专栏目录
IO控制驱动
12-03
linux层的io控制驱动程序,简单的程序实现对io口的控制
说说IO(六)- Driver & IO Channel
yuwenruli的专栏
08-22 662
这部分值得一说的是多路径问题。IO部分的高可用性在整个应用系统中可以说是最关键的,应用层可以坏掉一两台机器没有问题,但是如果IO不通了,整个系统都没法使用。如图为一个典型的SAN网络,从主机到磁盘,所有路径上都提供了冗余,以备发生通路中断的情况。     OS配置了2块
windbg : view nt!IoDriverObjectType
谢绝(无视)留言与私信
09-10 2287
/// 系统全局变量声明 extern POBJECT_TYPE *IoDriverObjectType; /// 未文档化API声明 /* kd> x nt!ObReferenceObjectBy* 805238bc nt!ObReferenceObjectByPointer = 805b1ab6 nt!ObReferenceObjectByHandle = 805b242
驱动添加到内核
longjingcha110的博客
03-08 269
编写好的驱动文件之后 将驱动文件放到drivers/xxx目录下 接着修改Makefile 中添加相应的编译后的.o文件 里面应该有一个配置宏 接着在当前目录下的kconfig文件中添加配置宏的选项信息. 最后通过make menuconfig 进行配置 ...
内核加载驱动的实现
热门推荐
softgmx的博客
08-28 1万+
利用udevd加载驱动内核实现,直接上调用栈吧): 查看驱动相关命令 cat /lib/modules/3.10.0-327.el7.x86_64/modules.dep|grep tun    查看系统中模块依赖关系 nm kernel/net/openvswitch/vport-geneve.ko                                查看一个文件的导出函数...
内核模块加载linux驱动程序编写
01-19
这些驱动程序源码可以修改到内核中,也可以把他们编译成模块形势,在需要的时候动态加载Linux内核是一个整体是结构,因此向内核添加任何东西,或者删除某些功能,都十分困难。为了解决这个问题引入了内核机制。  ...
Linux内核驱动加载,linux内核驱动模块加载方式
weixin_28953877的博客
04-29 1091
在类unix操作系统中,驱动加载方式一般分为:动态加载和静态加载,下面分别对其详细论述。一、动态加载动态加载是将驱动模块加载内核中,而不能放入/lib/modules/下。在2.4内核中,加载驱动命令为:insmod ,删除模块为:rmmod;在2.6以上内核中,除了insmod与rmmod外,加载命令还有modprobe;insmod与modprobe不同之处:insmod 绝对路径/××.o...
驱动加载工具
04-16
3. 加载驱动:工具会调用Windows API,如`ZwLoadDriver`函数,将驱动加载内核空间。 4. 配置调试:如果启用调试,工具会设置调试选项,如连接远程调试器或启用内核调试标志。 5. 监控和日志:在驱动运行过程中,...
Windows驱动加载工具DriverMonitor
01-10
DriverMonitor是一款专为Windows系统设计的驱动加载和调试工具,主要应用于内核模式驱动程序(Kernel-Mode Drivers,简称KMD)的开发和测试过程。它隶属于DriverStudio套件,为开发者提供了一种直观且高效的手段来...
内核模块加载顺序的控制
11-15
### 内核模块加载顺序的控制 #### 前言 在Linux内核开发中,模块之间的加载顺序是非常重要的,特别是在依赖性较强的场景下。例如,一个设备驱动可能需要依赖于另一个驱动或子系统才能正常工作。为了确保系统的稳定...
内核加载驱动机制详解(module_init & module_exit)
weixin_42031299的博客
04-24 6950
1、驱动加载方式:静态加载 & 动态加载 Linux是高度可配置、可裁剪的,驱动程序是对内核功能的扩展。 静态加载:将驱动代码直接编译进内核内核在启动过程中就会自动加载内核; 动态加载:将驱动代码单独编译成.ko格式的文件,再用insmod命令在需要的时候加载内核,在不需要驱动的时候用rmmod命令卸载驱动; 比较:静态加载一般用于基础功能的驱动,反正都是迟早是要加载的,编译进内核效率更高;动态加载一般用于扩展功能的驱动,这个设备可能 需要加载这个驱动也可能不需要加载这个驱动,这就要根据情况去加
简单的IO驱动学习笔记
LYan小小程序猿的专栏
02-22 898
最简单的IO驱动学习笔记
I/O体系结构和设备驱动程序(一)
最新发布
weixin_46628668的博客
06-17 776
让信息在CPU、RAM和I/O设备之间流动的数据通路称之为总线,即计算机内的主通信通道。所有计算机都有一条系统总线(一种典型的系统总线是PCI总线),连接内部大部分的硬件设备。计算机内不同的总线可以通过“桥”进行连接。任何I/O设备有且仅能连接一条总线,CPU和I/O设备之间的总线称为I/O总线。
WDK中导出的内核对象类型(Windows内核学习笔记)
KOOKNUT的博客
04-07 494
把笔记中的一些东西搬在这里,和大家分享下 //内核对象的对象类型 //Windbg 32位调试 ObjectType = *IoFileObjectType = 0x871f53c0 //ObjectType = *ExEventObjectType = 0x871fcd70 类似这些值都是固定的 //Windbg: dd IoFileObjectType 查看 exte...
IoGetDeviceObjectPointer和ObReferenceObjectByName得到设备对象指针
125096
02-19 1169
//IoGetDeviceObjectPointer得到设备对象指针 UNICODE_STRING DeviceName; RtlInitUnicodeString(&DeviceName,L"\\Device\\MyDDKDeviceA"); PDEVICE_OBJECT DeviceObject=NULL; PFILE_OBJECT FileObject=NULL; NTSTATUS ntS
驱动对象(DRIVER_OBJECT)
YL_WH的专栏
09-06 1097
驱动对象(DRIVER_OBJECT)  每个驱动程序对象代表了一个加载了的内核模式驱动程序映像.这个驱动对象就是以 DRIVER_OBJECT结构体的形式存在的.这个驱动对象的指针从驱动程序的DriverEntry函数 或AddDevice函数的参数传入的. typedef struct {     PDEVICE_OBJECT DeviceObject;     // 设备对
导出对象类型POBJECT_TYPE
08-14 1265
extern POBJECT_TYPE *IoDriverObjectType;     Status = ObReferenceObjectByName(         &usObjectName,         OBJ_CASE_INSENSITIVE,         NULL,         0,         *IoDriverObjectType,         Ke...
[转载]关于驱动中的ObReferenceObjectByName 和 IoGetDeviceObjectPointer
wowbell的专栏
03-17 2175
今天huhu0013问我为什么ObReferenceObjectByName不能得到Device类型的对象,讨论一番,最终得到如下解释,记录一下:================================================================================= 原文:http://www.boxcounter.org/?action=show&id=13前些阵子学写过滤驱动,遇到个问题,在网上找到了相应的资料,Blog下来。 我写的程序需要挂在文件系统上,
ObReferenceObjectByName 函数解析
weixin_30311605的博客
12-05 212
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, I...
Linux内核驱动加载步骤详解
"这篇文章主要介绍了如何在Linux内核加载驱动程序,对于初学者来说非常有帮助。将详细讲解步骤,包括驱动程序的编写、编译以及加载过程。" 在Linux系统中,驱动程序是连接硬件设备与操作系统的重要桥梁。加载驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值