zwSetSystemInformation加载驱动

最新推荐文章于 2019-11-15 19:19:46 发布
最新推荐文章于 2019-11-15 19:19:46 发布
阅读量4.5k 收藏 3
点赞数
分类专栏: 内核开发 文章标签: image system callback string struct object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaocaiju/article/details/7583234
版权

zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度..


#include <Windows.h>
#include <stdio.h>

#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)

#define SystemLoadAndCallImage	38

typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PVOID  Buffer;
}UNICODE_STRING, *PUNICODE_STRING;

//typedef unsigned long	NTSTATUS;

typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{
	UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE;

//声明三个函数的原型
typedef DWORD (CALLBACK* ZWSETSYSTEMINFORMATION)(DWORD, PVOID, LONG	);
ZWSETSYSTEMINFORMATION ZwSetSystemInformation;
//typedef DWORD (CALLBACK* RTLINITUNICODESTRING)(PUNICODE_STRING, PCWSTR);
//RTLINITUNICODESTRING RtlInitUnicodeString;
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID, DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;


int main(int argc, char* argv)
{
	SYSTEM_LOAD_AND_CALL_IMAGE gregsImage;
	UNICODE_STRING TmpBuff;

	char szDrvFullPath[256];
	int iBufflen;

	//手工加载这三个函数
	//if (!(RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlInitUnicodeString")))
	//{
	//	printf("GetProcAddrss error:%d\n", GetLastError());
	//	exit(-1);
	//}
	if (!(RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING)GetProcAddress(GetModuleHandle("ntdll.dll"),"RtlAnsiStringToUnicodeString")))
	{
		printf("GetProcAddrss error:%d\n", GetLastError());
		exit(-1);
	}
	if (!(ZwSetSystemInformation = (ZWSETSYSTEMINFORMATION)GetProcAddress(GetModuleHandle("ntdll.dll"),"ZwSetSystemInformation")))
	{
		printf("GetProcAddrss error:%d\n", GetLastError());
		exit(-1);
	}

	//ring 0 访问磁盘时要用\\??\\%s 的方式, 以前出错时少了一个?
	iBufflen = sprintf(szDrvFullPath, "\\??\\%s", "c:\\aaa.sys");
	szDrvFullPath[iBufflen] = 0;

	TmpBuff.Buffer = (PVOID)szDrvFullPath;
	TmpBuff.Length = iBufflen;

	RtlAnsiStringToUnicodeString(&(gregsImage.ModuleName), &TmpBuff, 1);
	if (NT_SUCCESS(ZwSetSystemInformation(SystemLoadAndCallImage, &gregsImage, sizeof(SYSTEM_LOAD_AND_CALL_IMAGE))))
	{
		printf("drive %s was loaded....", szDrvFullPath);
	}
	else
	{
		printf("dirve load error...");
	}
	getchar();
	return 1;

	
}

其中,aaa.sys的代码为: 

#include <ntddk.h>

DRIVER_UNLOAD Unload;

VOID Unload(
	__in  struct _DRIVER_OBJECT *DriverObject
	)
{
	KdPrint(("unload ....."));
}


NTSTATUS DriverEntry(
	__in  PDRIVER_OBJECT DriverObject,
	__in  PUNICODE_STRING RegistryPath
	)
{
	DriverObject->DriverUnload = Unload;
	KdPrint(("dirver entry...."));
	return STATUS_SUCCESS;
}

将生成的aaa.sys放到C盘根目录,运行ring 3的程序,结果如下:


小驹
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ZwSetSystemInformationZwLoadDriver加载驱动
03-24 1409
入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修改,并在我机器WinXP SP2+VS 2005下编译测试
通过ZwSetSystemInformation驱动加载驱动
pureman_mega的博客
07-04 872
环境:win7 32 ,材料: ntoskrnl.exe , spldr.sys spsys.sys 看到一个文件叫spldr.sys,loader for security processor,一个加载器。于是就进去看看如何实现的。在spldr.sys 里面看到字符串 SystemRoot\system32\drivers\spsys.sys ,应该就是要加载这个驱动了。再看字符串的引用位置,发现调用ZwSetSystemInformation,应该就是通过这个函数来加载驱动的。下面是调用情况: .
ZWSetSystemInformation加载驱动
weixin_34389926的博客
03-29 279
zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. [cpp]view plaincopyprint? #include<...
通过ZwSetSystemInformationZwLoadDriver加载驱动(转)
lionzl的专栏
08-27 1666
通过ZwSetSystemInformationZwLoadDriver加载驱动(转)2007-09-29 09:13这段时间接触了一点点windows内核以及驱动编写的东西.深知其博大精深难以学习.入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用...
驱动加载
04-12
在“运行时加载驱动程序”这个子文件夹中,可能包含用于在运行时加载驱动的特定代码和工具。这可能包括驱动的动态链接库(DLL)文件、加载脚本或实用程序,以及与这些操作相关的文档或示例。通过研究这些内容,...
Windows驱动源程序
12-15
在IT领域,Windows驱动程序是操作系统与硬件设备之间的桥梁,它们负责翻译并执行硬件设备的指令,使得操作系统能够有效地管理和控制硬件。Windows驱动开发是一项关键的技术工作,涉及到多个层次的知识,包括但不限于...
LoadSysFile
08-24
本程序用来将sys文件加载到内核中并运行, 使用SCM(服务控制管理器)加载有更好的稳定性, 然而, 使用ZwSetSystemInformation加载, 能获得更好的隐蔽性. 作者:施自成 Blog: http://hi.csdn.net/justin_shi Email: ...
hook_进程隐藏
07-16
这里我们讨论的是通过驱动程序实现进程隐藏,具体是利用`Hook ZwQuerySystemInformation`函数来达到目的。 `ZwQuerySystemInformation`是内核模式下获取系统信息的关键API,它允许获取到系统中的各种信息,包括进程...
ZwQuerySystemInformation获取系统启动时间+ 取启动时间
06-03
使用 ZwQuerySystemInformation 来获取系统启动时间(什么时间开机的)+ 取启动时间.其中 “Zw_取系统开机时间()” 获取的系统启动时间和CMD命令中的 systeminfo 显示的系统开机时间一致.而 “Zw_取启动时间” 获取的值和易语言的“取启动时间()”命令一致,也和API命令 GetTickCount() 取的值相同,不同的是API命令 GetTickCount() 是有BUG的,长时间调用 GetTickCount() 会返回 -1 ,ZwQuerySystemInformation 没有这个问题.@先锋小七。Tags:ZwQuerySystemInformation取启动时间。
Greg Hoglund大牛的ZwSetSystemInformation()加载驱动
blackbean的专栏
09-16 751
这里备份一下: #include #include typedef struct _UNICODE_STRING {     USHORT Length;     USHORT MaximumLength; #ifdef MIDL_PASS
ZwSetSystemInformation释疑
Rookie Rock
11-13 1540
ZwSetSystemInformation比较特殊,用了那段经典的加载方法,会发现老是加载不成功,到底成不成呢?我用VMWARE+WinDbg测试了,lm,发现服务列表里面是有了的,但是dbgview没有输出。在这里(http://hi.baidu.com/hypkb/blog/item/fe58b7830b377498f603a6f4.html)找到这样一段话: 起初是在那本书上面看到的,可惜怎么试都是失败,本身很简单就调调API的问题,再后来看到这篇:用SystemLoadAndCallImage加载
ZwSetSystemInformation的使用
04-02 2053
實驗對象:卡巴7.0.0.125實驗函數:ZwSetSystemInformation實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦 // TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.// #include #
ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动
weixin_33989780的博客
06-29 512
//////////////////////////////////////// // New Deployment Module for rootkit 040 // ------------------------------------- // -Greg Hoglund http://www.rootkit.com /////////////////////////////...
ZWSETSYSTEMINFORMATION过卡巴
08-29 1295
一段算是针对卡巴的程序2007-07-08 22:06 OD代码:0040130B    |.    68 54304000     push      00403054                           ; /Arg1 = 00403054 ASCII "a
一个加载驱动的API - ZwSetSystemInformation
sxr__nc的博客
11-15 546
ZwSetSystemInformation( IN SYSTEM_IMFORMATION_CALSS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength); 第一个参数:SystemInformationClass:将被设置的系统信息的类型,值为SYSTEM_IMFORM...
卡巴斯基7.0.1.227 最新版终于封了ZwSetSystemInformation
10-10 971
KAV /KIS 最新7.0.1.227    Beta 版封了ZwSetSystemInformation 、HIVE写注册表、ZwSystemDebugControl等方法,嘿嘿,有些人得郁闷一阵子了~这么晚才封,效率够低的。不过方法还是有的,哈哈~ 
卡巴のZwSetSystemInformation的心寒
啤梨Lily的 world
01-01 1715
ZwSetSystemInformation的使用,卡巴7.0.0.125的失誤.前提:好几個月前有人公布了點卡吧的失誤,當時我沒留意,前天復習好無聊,試驗了一下結果嚇了一跳.好似現在中國都是用7.0.0.125這個版本的,危險,雖然7.0.1.133已經封了這個函數了不過是英文版,沒多少人去用吧?好了,下麵直接寫源碼并解析,相信對病毒有興趣的朋友會懂吧,又可以寫一個AV終結者類的病毒了.(源

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值