基于文件与内容比较检测SSDT变化

最新推荐文章于 2021-10-17 15:09:10 发布
最新推荐文章于 2021-10-17 15:09:10 发布
阅读量1.3w 收藏
点赞数
分类专栏: 内核开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaocaiju/article/details/8313539
版权

在DriverEntry中FindOriAddress(3)得到文件基址中的SSDT索引号为3的函数地址

调试结果如下:



通过脚本查看到的SSDT的信息如下图:


脚本来源于:http://bbs.pediy.com/showthread.php?t=34018

$$ ntcall Script v0.1
$$ by 小喂 2006.10.29
$$   $$><d:\ntcall.txt

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%x\\\" cmd=\\\"uf 0x%x\\\">";
aS ufLinkE "</link></col></u>";

r $t1 = nt!KeServiceDescriptorTable;
r $t2 = poi(@$t1 + 8);
r $t1 = poi(@$t1);

.printf "\nOrd   Address   fnAddr   Symbols\n";
.printf "--------------------------------\n\n";

.for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1)
{
    r $t3 = poi(@$t1);
    .printf /D "[%3d] %X: ${ufLinkS}%X${ufLinkE} (%y)\n", @$t0, @$t1, @$t3, @$t3, @$t3, @$t3;
    r $t1 = @$t1 + 4;
}

.printf "\n- end -\n";

ad ufLinkS;
ad ufLinkE;


Driver.cpp内容:


#include "Driver.h"
//#include <windows.h>
#include "ntimage.h"
//#include "ntos.h"

//#include "wdbgexts.h"
//#include "ntdbg.h"
//#include <zwapi.h>
#include <string.h>



/************************************************************************
* 函数名称:GetServiceId
* 功能描述:取得ntoskrnl.exe SSDT导出函数服务号,(只能取得导出函数)
* 参数列表:
      FunctionName:函数名
* 返回值:返回导出服务号
*************************************************************************/
ULONG GetServiceId(PCWSTR FunctionName)
{
	UNICODE_STRING UnicodeFunctionName;
	ULONG address;
	ULONG ServiceId;

	RtlInitUnicodeString(&UnicodeFunctionName, FunctionName);
	address = (ULONG)MmGetSystemRoutineAddress(&UnicodeFunctionName);
	//打印函数地址
	KdPrint(("[GetServiceId] address:0x%x\n", address));

	//打印服务号
	ServiceId = *(PSHORT)(address+1);
	KdPrint(("[GetServiceId] ServiceId:0x%x\n", ServiceId));
	return ServiceId;
}

/************************************************************************
* 函数名称:RVA2PTR
* 功能描述:根据内存基址,得到RVA对应的文件偏移地址
* 参数列表:ULONG ImageBase--文件内存基址
*          ULONG Rva--要转换的RVA地址    
* 返回值:ULONG 相应的文件偏移地址
*************************************************************************/
ULONG RVA2PTR(ULONG ImageBase, ULONG Rva)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_OPTIONAL_HEADER pOptHeader = NULL;
	PIMAGE_SECTION_HEADER pSecHeader = NULL;
	ULONG dwNumOfSections = 0;
	ULONG i = 0;
	ULONG dwFileOffset = 0;

	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNtHeader = (PIMAGE_NT_HEADERS)((ULONG)ImageBase + pDosHeader->e_lfanew);
	pOptHeader = (PIMAGE_OPTIONAL_HEADER)&pNtHeader->OptionalHeader;

	dwNumOfSections = pNtHeader->FileHeader.NumberOfSections;
	pSecHeader = (PIMAGE_SECTION_HEADER)((ULONG)pOptHeader + pNtHeader->FileHeader.SizeOfOptionalHeader);

	for (i = 0; i < dwNumOfSections; i++)
	{
		ULONG dwMinAddr = pSecHeader->VirtualAddress;
		ULONG dwMaxAddr = dwMinAddr + pSecHeader->Misc.VirtualSize;
		if (Rva >= dwMinAddr && Rva < dwMaxAddr)
		{
			dwFileOffset = Rva - dwMinAddr + pSecHeader->PointerToRawData;
			break;
		}
		pSecHeader++;
	}
	return dwFileOffset;

}

/************************************************************************
* 函数名称:GetModuleName
* 功能描述:从输入的路径中得到程序名
* 参数列表:char *processPath  输入的路径名,如D:\peinfo.exe
		   char *processName  返回的进程名,如peinfo.exe
*                
* 返回值:返回到参数中,processName
*************************************************************************/
void GetModuleName(char *processPath, char *processName)
{
	ULONG nLen = strlen(processPath) - 1;
	ULONG i = nLen; 

	KdPrint(("[GetModuleName] i = %d", nLen));
	while (processPath[i] != '\\')
	{
		i = i - 1;
	}
	strncpy(processName, processPath+i+1, nLen - i );
}


/************************************************************************
* 函数名称:FindOriAddress
* 功能描述:根据SSDT索引号从原始文件中得到SSDT表中的函数地址,用于对比
		   文件中的SSDT与内存中的SSDT索引中的函数地址是否变化,检测是
		   否HOOK了SSDT中的函数
* 参数列表:ULONG index 索引号
*                
* 返回值:文件中函数地址
*************************************************************************/
ULONG FindOriAddress(ULONG index)
{
	ULONG size = 0;
	NTSTATUS status;
	ULONG baseAddress;
	PSYSTEM_MODULE_INFORMATION list = NULL;
	char szFileName[256] = {0};
	char szKernelName[256] = "\\SystemRoot\\system32\\";
	UNICODE_STRING unKernelName;
	ANSI_STRING anKernelName;
	ULONG rvaOfsstd = 0;
	ULONG offsetOfsstd = 0;
	LARGE_INTEGER locationOfServiceId;
	OBJECT_ATTRIBUTES object_attributes;
	IO_STATUS_BLOCK io_status = {0};
	HANDLE hFile;
	ULONG dwOriAddr;

	ZwQuerySystemInformation(SystemModuleInformation, &size, 0, &size);
	KdPrint(("[FindOriAddress]:size:0x%x\n", size));
	
	list = (PSYSTEM_MODULE_INFORMATION)ExAllocatePool(NonPagedPool, size);
	if (NULL == list)
	{
		KdPrint(("[FindOriAddress]:ExAllocatePool error\n"));
		ExFreePool(list);
		return -1;
	}
	status = ZwQuerySystemInformation(SystemModuleInformation, list, size, 0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[FindOriAddress]:ZwQuerySystemInformation error\n"));
		ExFreePool(list);
		return -1;
	}
	baseAddress = (ULONG)list->Module[0].Base;
	KdPrint(("[FindOriAddress]:baseAddress=0x%x\n", baseAddress));
	//分离出内核文件名
	GetModuleName(list->Module[0].ImageName, szFileName);
	KdPrint(("[FindOriAddress]:szFileName=%s\n", szFileName));

	strcat(szKernelName, szFileName);

	RtlInitAnsiString(&anKernelName, szKernelName);
	RtlAnsiStringToUnicodeString(&unKernelName, &anKernelName, TRUE);
	KdPrint(("[FindOriAddress]:unKernelName=%wZ\n", unKernelName));
	ExFreePool(list);

	//得到SSDT表的RVA
	rvaOfsstd = (ULONG)KeServiceDescriptorTable.ServiceTableBase - baseAddress;
	offsetOfsstd = (ULONG)RVA2PTR(baseAddress, rvaOfsstd);
	

	//得到SSDT表的FileOffset
	offsetOfsstd = RVA2PTR(baseAddress, rvaOfsstd);
	KdPrint(("[FindOriAddress]:offsetOfsstd=0x%x\n", offsetOfsstd));

	locationOfServiceId.QuadPart = offsetOfsstd + index * 4;
	KdPrint(("[FindOriAddress]:locationOfServiceId=0x%x\n", locationOfServiceId));
	KdPrint(("[FindOriAddress]:当前ssdt对应的地址=0x%x\n", locationOfServiceId));

	InitializeObjectAttributes(&object_attributes, &unKernelName, OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, NULL, NULL);
	//打开文件
	status = ZwCreateFile(
		&hFile,
		FILE_EXECUTE| SYNCHRONIZE, 
		&object_attributes, 
		&io_status, 
		NULL,
		FILE_ATTRIBUTE_NORMAL, 
		FILE_SHARE_READ, 
		FILE_OPEN, 
		FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT|FILE_RANDOM_ACCESS, 
		NULL, 
		0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[FindOriAddress] error ZwCreateFile\n"));
		KdPrint(("[FindOriAddress] ntstatus = 0x%x\n", status));
		return 0;
	}
	//读取文件
	status = ZwReadFile(hFile, NULL, NULL, NULL, NULL, &dwOriAddr, sizeof(ULONG), &locationOfServiceId, NULL);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[FindOriAddress] error ZwReadFile\n"));
		KdPrint(("[FindOriAddress] ntstatus = 0x%x\n", status));
		return 0;
	}
	//重定位
	dwOriAddr = baseAddress - 0x400000 + dwOriAddr;
	KdPrint(("[FindOriAddress] dwOriAddr = 0x%x\n", dwOriAddr));
	
	RtlFreeUnicodeString(&unKernelName);

	return dwOriAddr;
}



/************************************************************************
* 函数名称:FindModuleByAddress
* 功能描述:根据输入的内核地址,返回该地址所在的模块路径
* 参数列表:ULONG Address---要查询的内核地址
*          PVOID name_buffer---接收返回的模块路径      
* 返回值:无,返回模块路径到参数name_buffer中
*************************************************************************/
void FindModuleByAddress(ULONG Address, PVOID name_buffer)
{
	ULONG size = 0;
	PSYSTEM_MODULE_INFORMATION list;
	NTSTATUS status;
	ULONG i = 0;
	ULONG minAddress = 0;
	ULONG maxAddress = 0;

	ZwQuerySystemInformation(SystemModuleInformation, &size, 0, &size);
	KdPrint(("[FindModuleByAddress]:size:0x%x\n", size));

	list = (PSYSTEM_MODULE_INFORMATION)ExAllocatePool(NonPagedPool, size);
	if (NULL == list)
	{
		KdPrint(("[FindModuleByAddress]:ExAllocatePool error\n"));
		ExFreePool(list);
		return ;
	}
	status = ZwQuerySystemInformation(SystemModuleInformation, list, size, 0);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("[FindModuleByAddress]:ZwQuerySystemInformation error\n"));
		ExFreePool(list);
		return ;
	}
	for (i = 0; i < list->Count; i++)
	{
		minAddress = (ULONG)list->Module[i].Base;
		maxAddress = minAddress + list->Module[i].Size;
		if (Address >= minAddress && Address <= maxAddress)
		{
			memcpy(name_buffer, list->Module[i].ImageName, sizeof(list->Module[i].ImageName));
			KdPrint(("[FindModuleByAddress]:ModuleName:%s \n", name_buffer));
			ExFreePool(list);
			return ;
		}
	}

	ExFreePool(list);
	return;
}


/************************************************************************
* 函数名称:GetFunctionId
* 功能描述:解析ntdll.dll的IAT,得到ssdt函数的服务号
* 参数列表:PUNICODE_STRING DllName---Dll名称
*          FunctionName---要查找的函数名称      
* 返回值:返回导出服务号
*************************************************************************/
ULONG GetFunctionId(PUNICODE_STRING DllName, char* FunctionName)
{
	ULONG ServiceId = 0; 
	NTSTATUS ntstatus;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	OBJECT_ATTRIBUTES object_attributes;
	IO_STATUS_BLOCK io_status = {0};
	PVOID baseaddress = NULL;
	SIZE_T size = 0;
	
	ULONG virual_size = 0;
	PVOID ModuleBase = NULL;

	ULONG addr = 0;
	//偏移量
	ULONG dwOffset  = 0;
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	IMAGE_DATA_DIRECTORY DataDirectory = {0};
	PIMAGE_EXPORT_DIRECTORY pExportDirectory = NULL;

	PULONG functions = NULL;
	PUSHORT ordinals = NULL;
	PULONG names = NULL;

	ULONG iNumOfName = 0;
	ULONG iNumOfFuncs = 0;

	ULONG pFuncAddr = 0; 

	ULONG i = 0;
	ULONG j = 0;


	InitializeObjectAttributes(&object_attributes, DllName, OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, NULL, NULL);

	//打开文件
	ntstatus = ZwCreateFile(
						&hFile,
						FILE_EXECUTE| SYNCHRONIZE, 
						&object_attributes, 
						&io_status, 
						NULL,
						FILE_ATTRIBUTE_NORMAL, 
						FILE_SHARE_READ, 
						FILE_OPEN, 
						FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT|FILE_RANDOM_ACCESS, 
						NULL, 
						0);
	if (!NT_SUCCESS(ntstatus))
	{
		KdPrint(("[GetFunctionAddress] error ZwCreateFile\n"));
		KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
		return 0;
	}

	InitializeObjectAttributes(&object_attributes, NULL, OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, NULL, NULL);
	//创建区段
	ntstatus = ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &object_attributes, 0, PAGE_EXECUTE, SEC_IMAGE, hFile);
	if (!NT_SUCCESS(ntstatus))
	{
		KdPrint(("[GetFunctionAddress] error ZwCreateSection\n"));
		KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
		ZwClose(hFile);
		return 0;
	}

	//映射区段到进程内存地址空间
	ntstatus = ZwMapViewOfSection(hSection, NtCurrentProcess(), &baseaddress, 0, 1024, 0, &size, (SECTION_INHERIT)ViewShare  , MEM_TOP_DOWN, PAGE_READWRITE);
	if (!NT_SUCCESS(ntstatus))
	{
		KdPrint(("[GetFunctionAddress] error ZwMapViewOfSection\n"));
		KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
		ZwClose(hSection);
		ZwClose(hFile);
		return 0;
	}
	ZwClose(hFile);
	//得到模块基址
	dwOffset = (ULONG)baseaddress;

	//验证基址
	KdPrint(("[GetFunctionAddress] baseaddress = 0x%x\n", dwOffset));

	//Dos头部
	pDosHeader = (PIMAGE_DOS_HEADER)baseaddress;
	//PE文件头
	pNTHeader = (PIMAGE_NT_HEADERS)( (ULONG)baseaddress + pDosHeader->e_lfanew);
	KdPrint(("[GetFunctionAddress] pNTHeader = 0x%x\n", pNTHeader));

	//数据目录 
	DataDirectory = (IMAGE_DATA_DIRECTORY)(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]); // + IMAGE_DIRECTORY_ENTRY_EXPORT
	KdPrint(("[GetFunctionAddress] DataDirectory = 0x%x\n", DataDirectory));

	addr = DataDirectory.VirtualAddress;
	virual_size = DataDirectory.Size;

	//导出表
	pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)((ULONG)baseaddress + addr);
	//导出表的三个数组指针 
	functions =  (PULONG)( (ULONG)baseaddress + pExportDirectory->AddressOfFunctions );
	ordinals = (PUSHORT)((ULONG)baseaddress + pExportDirectory->AddressOfNameOrdinals);
	names = (PULONG)((ULONG)baseaddress + pExportDirectory->AddressOfNames);

	iNumOfName = (ULONG)pExportDirectory->NumberOfNames;
	iNumOfFuncs = (ULONG)pExportDirectory->NumberOfFunctions;


	
	for( i=0; i < iNumOfFuncs; i++)       //i<AddressOfFunctions 中个元素个数
	{
		if(*functions)                         //AddressOfFunctions  VA != NULL
		{    
			for( j = 0; j < iNumOfName; j++)                  // j < NumberOfNames
			{
				if(i==ordinals[j])               //pwOrds is a pointer to AddressOfNameOrdinals
				{  
					PCHAR pCurFuncName=(PCHAR)baseaddress + names[j];
					KdPrint(("[GetFunctionAddress] funcName:%s\n", pCurFuncName));
					if (strcmp(pCurFuncName, FunctionName) == 0)
					{
						ULONG offsetfunction = *functions;
						pFuncAddr = (ULONG)((ULONG)baseaddress + functions[0]);
						ULONG pFuncAddr2 = (ULONG)((ULONG)baseaddress + offsetfunction);
						KdPrint(("[GetFunctionAddress]:pFuncAddr:0x%x\n",  pFuncAddr));
						KdPrint(("[GetFunctionAddress]:pFuncAddr2:0x%x\n",  pFuncAddr2));
						break;
					}
				}
			}
			functions++;
		}
		break;
	}
	KdPrint(("[GetFunctionAddress]:%s:0x%x\n", FunctionName, pFuncAddr));
	//ServiceId = *(PSHORT)(pFuncAddr+1);
	ServiceId = 1;
	KdPrint(("[GetFunctionAddress]:ServiceId:0x%x\n", ServiceId));
	ZwUnmapViewOfSection(NtCurrentProcess(), baseaddress);
	ZwClose(hSection);
	
	return ServiceId;
}


/************************************************************************
* 函数名称:DriverEntry
* 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
      pRegistryPath:驱动程序在注册表的中的路径
* 返回 值:返回初始化驱动状态
*************************************************************************/
#pragma INITCODE
extern "C" NTSTATUS DriverEntry (
			IN PDRIVER_OBJECT pDriverObject,
			IN PUNICODE_STRING pRegistryPath	) 
{
	_asm int 3
	NTSTATUS status;
	KdPrint(("Enter DriverEntry\n"));

	GetServiceId(L"ZwCreateFile");
	
	KdPrint(("aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\n"));
	UNICODE_STRING dllName;
	ULONG ZwCreateProcessEx_ServiceId;
	RtlInitUnicodeString(&dllName, L"\\??\\c:\\windows\\system32\\ntdll.dll");
	ZwCreateProcessEx_ServiceId = GetFunctionId(&dllName, "ZwCreateProcessEx");
	KdPrint(("bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb\n"));

	KdPrint(("enter FindOriAddress\n"));
	FindOriAddress(3);
	KdPrint(("out FindOriAddress\n"));
	//注册其他驱动调用函数入口
	pDriverObject->DriverUnload = HelloDDKUnload;
	pDriverObject->MajorFunction[IRP_MJ_CREATE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_CLOSE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_WRITE] = HelloDDKDispatchRoutine;
	pDriverObject->MajorFunction[IRP_MJ_READ] = HelloDDKDispatchRoutine;
	
	//创建驱动设备对象
	status = CreateDevice(pDriverObject);

	KdPrint(("DriverEntry end\n"));
	return status;
}

/************************************************************************
* 函数名称:CreateDevice
* 功能描述:初始化设备对象
* 参数列表:
      pDriverObject:从I/O管理器中传进来的驱动对象
* 返回 值:返回初始化状态
*************************************************************************/
#pragma INITCODE
NTSTATUS CreateDevice (
		IN PDRIVER_OBJECT	pDriverObject) 
{
	NTSTATUS status;
	PDEVICE_OBJECT pDevObj;
	PDEVICE_EXTENSION pDevExt;
	
	//创建设备名称
	UNICODE_STRING devName;
	RtlInitUnicodeString(&devName,L"\\Device\\MyDDKDevice");
	
	//创建设备
	status = IoCreateDevice( pDriverObject,
						sizeof(DEVICE_EXTENSION),
						&(UNICODE_STRING)devName,
						FILE_DEVICE_UNKNOWN,
						0, TRUE,
						&pDevObj );
	if (!NT_SUCCESS(status))
		return status;

	pDevObj->Flags |= DO_BUFFERED_IO;
	pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;
	pDevExt->pDevice = pDevObj;
	pDevExt->ustrDeviceName = devName;
	//创建符号链接
	UNICODE_STRING symLinkName;
	RtlInitUnicodeString(&symLinkName,L"\\??\\HelloDDK");
	pDevExt->ustrSymLinkName = symLinkName;
	status = IoCreateSymbolicLink( &symLinkName,&devName );
	if (!NT_SUCCESS(status)) 
	{
		IoDeleteDevice( pDevObj );
		return status;
	}
	return STATUS_SUCCESS;
}

/************************************************************************
* 函数名称:HelloDDKUnload
* 功能描述:负责驱动程序的卸载操作
* 参数列表:
      pDriverObject:驱动对象
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) 
{
	PDEVICE_OBJECT	pNextObj;
	KdPrint(("Enter DriverUnload\n"));
	pNextObj = pDriverObject->DeviceObject;
	while (pNextObj != NULL) 
	{
		PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)
			pNextObj->DeviceExtension;

		//删除符号链接
		UNICODE_STRING pLinkName = pDevExt->ustrSymLinkName;
		IoDeleteSymbolicLink(&pLinkName);
		pNextObj = pNextObj->NextDevice;
		IoDeleteDevice( pDevExt->pDevice );
	}
}

/************************************************************************
* 函数名称:HelloDDKDispatchRoutine
* 功能描述:对读IRP进行处理
* 参数列表:
      pDevObj:功能设备对象
      pIrp:从IO请求包
* 返回 值:返回状态
*************************************************************************/
#pragma PAGEDCODE
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp) 
{
	KdPrint(("Enter HelloDDKDispatchRoutine\n"));
	NTSTATUS status = STATUS_SUCCESS;
	// 完成IRP
	pIrp->IoStatus.Status = status;
	pIrp->IoStatus.Information = 0;	// bytes xfered
	IoCompleteRequest( pIrp, IO_NO_INCREMENT );
	KdPrint(("Leave HelloDDKDispatchRoutine\n"));
	return status;
}

Driver.h内容如下: 

/************************************************************************
* 文件名称:Driver.h                                                 
*************************************************************************/
#pragma once

#ifdef __cplusplus
extern "C"
{
#endif
#include <NTDDK.h>
#ifdef __cplusplus
}
#endif 



#define PAGEDCODE code_seg("PAGE")
#define LOCKEDCODE code_seg()
#define INITCODE code_seg("INIT")

#define PAGEDDATA data_seg("PAGE")
#define LOCKEDDATA data_seg()
#define INITDATA data_seg("INIT")

#define arraysize(p) (sizeof(p)/sizeof((p)[0]))

typedef struct _DEVICE_EXTENSION {
	PDEVICE_OBJECT pDevice;
	UNICODE_STRING ustrDeviceName;	//设备名称
	UNICODE_STRING ustrSymLinkName;	//符号链接名
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY {
	HANDLE Section;
	PVOID MappedBase;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT LoadOrderIndex;
	USHORT InitOrderIndex;
	USHORT LoadCount;
	USHORT PathLength;
	CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;


typedef struct _SYSTEM_MODULE_INFORMATION {
	ULONG Count;
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;




typedef enum _SYSTEM_INFORMATION_CLASS
{
	SystemBasicInformation,					//  0 Y N
	SystemProcessorInformation,				//  1 Y N
	SystemPerformanceInformation,			//  2 Y N
	SystemTimeOfDayInformation,				//  3 Y N
	SystemNotImplemented1,					//  4 Y N
	SystemProcessesAndThreadsInformation,	//  5 Y N
	SystemCallCounts,						//  6 Y N
	SystemConfigurationInformation,			//  7 Y N
	SystemProcessorTimes,					//  8 Y N
	SystemGlobalFlag,						//  9 Y Y
	SystemNotImplemented2,					// 10 Y N
	SystemModuleInformation,				// 11 Y N
	SystemLockInformation,					// 12 Y N
	SystemNotImplemented3,					// 13 Y N
	SystemNotImplemented4,					// 14 Y N
	SystemNotImplemented5,					// 15 Y N
	SystemHandleInformation,				// 16 Y N
	SystemObjectInformation,				// 17 Y N
	SystemPagefileInformation,				// 18 Y N
	SystemInstructionEmulationCounts,		// 19 Y N
	SystemInvalidInfoClass1,				// 20
	SystemCacheInformation,					// 21 Y Y
	SystemPoolTagInformation,				// 22 Y N
	SystemProcessorStatistics,				// 23 Y N
	SystemDpcInformation,					// 24 Y Y
	SystemNotImplemented6,					// 25 Y N
	SystemLoadImage,						// 26 N Y
	SystemUnloadImage,						// 27 N Y
	SystemTimeAdjustment,					// 28 Y Y
	SystemNotImplemented7,					// 29 Y N
	SystemNotImplemented8,					// 30 Y N
	SystemNotImplemented9,					// 31 Y N
	SystemCrashDumpInformation,				// 32 Y N
	SystemExceptionInformation,				// 33 Y N
	SystemCrashDumpStateInformation,		// 34 Y Y/N
	SystemKernelDebuggerInformation,		// 35 Y N
	SystemContextSwitchInformation,			// 36 Y N
	SystemRegistryQuotaInformation,			// 37 Y Y
	SystemLoadAndCallImage,					// 38 N Y
	SystemPrioritySeparation,				// 39 N Y
	SystemNotImplemented10,					// 40 Y N
	SystemNotImplemented11,					// 41 Y N
	SystemInvalidInfoClass2,				// 42
	SystemInvalidInfoClass3,				// 43
	SystemTimeZoneInformation,				// 44 Y N
	SystemLookasideInformation,				// 45 Y N
	SystemSetTimeSlipEvent,					// 46 N Y
	SystemCreateSession,					// 47 N Y
	SystemDeleteSession,					// 48 N Y
	SystemInvalidInfoClass4,				// 49
	SystemRangeStartInformation,			// 50 Y N
	SystemVerifierInformation,				// 51 Y Y
	SystemAddVerifier,						// 52 N Y
	SystemSessionProcessesInformation		// 53 Y N
		
} SYSTEM_INFORMATION_CLASS;




#pragma pack(1)  

typedef struct ServiceDescriptorEntry{  
    unsigned int *ServiceTableBase;  
    unsigned int *ServiceCountTableBase;  
    unsigned int NumberOfServices;  
    unsigned char *ParamTableBase;  
}ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;  

#pragma pack()  

extern "C" __declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;  


extern "C"  NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(   
															 IN ULONG SystemInformationClass,   
															 IN PVOID SystemInformation,   
															 IN ULONG SystemInformationLength,   
															 OUT PULONG ReturnLength);  



// 函数声明

NTSTATUS CreateDevice (IN PDRIVER_OBJECT pDriverObject);
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject);
NTSTATUS HelloDDKDispatchRoutine(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp);

ULONG GetServiceId(PCWSTR FunctionName);
ULONG GetFunctionId(PUNICODE_STRING DllName, char* FunctionName);
void FindModuleByAddress(ULONG Address, PVOID buffer);
ULONG RVA2PTR(ULONG ImageBase, ULONG Rva);
void GetModuleName(char *processPath, char *processName);
ULONG FindOriAddress(ULONG index);


小驹
关注
专栏目录
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
基于OpenCore0.5.4/5/6,初级配置视频与文字
shuiyunxc的博客
01-18 6198
基于OpenCore0.5.4,初级配置视频OpenCore初级配置视频视频地址:视频中用到的文本:OC配置初步视频讲解文本一、 OC配置的基本条件与工具软件1.1、 Clover能正确引导,系统各种功能基本正常(关机/重启正常等)。1.2、 已完成USB定制,且定制正确。1.3、 工具软件:1.4、工具软件下载:二、 配置准备:2.1、 Clover-EFI包2.2、OC-EFI包2.3、ACP...
Kernel下检测还原正确的SSDT
Rootkit ﹏
09-02 1051
<br /> <br />步骤说明:<br />1)        用NtQuerySystemInformation取得内核模块ntkrnlpa.exe或ntoskrnl.exe的基址KernelBase,获取内核模块的文件名称,到底是ntkrnlpa.exe还是ntoskrnl.exe.<br />2)        读取ntkrnlpa.exe或ntoskrnl.exe的映象基址ImageBase,和.Text节中虚拟偏移Virtual Offset,实际偏移Real Offset.<br />3) 
使用SSDT进行SQL单元测试(SQL Server数据工具)
culuo4781的博客
07-24 1030
In this article, we will discuss the essentials of the SQL unit testing and then we will explore how to apply SQL unit testing methodology in Azure SQL Database with help of SQL Server Data Tools ...
1.ring0-内核重载详解(NTOS)
热门推荐
hgy413的专栏
08-07 2万+
1.取得NTOS原始的地址: 这个可以通过遍历系统模块,找到第一个被加载的模块(NTOS),获得NTOS的路径,基地址,大小: 基本思路为: 1.1 ZwQuerySystemInformation查询到所有模块 1.2 获得NTOS的路径,基地址,大小 代码如下: NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,
深度学习-SSD算法
Tc、zyh的博客
10-17 2196
文章目录一、SSD网络结构算法细节 详细解析:https://blog.csdn.net/ytusdc/article/details/86577939 一、SSD网络结构 图1 SSD网络架构(精简版) 图2 SSD网络架构(细节版) 图3 VGG16网络架构 SSD采用VGG16作为基础模型,并且做了以下修改,如图1所示 分别将VGG16的全连接层FC6和FC7转换成 3x3 的卷积层 Conv6和 1x1 的卷积层Conv7 去掉所有的Dropout层和FC8层 同时将池化层pool5由原来的
深度学习之 SSD(Single Shot MultiBox Detector)
fenglepeng的博客
06-02 3254
前言 目标检测近年来已经取得了很重要的进展,主流的算法主要分为两个类型: (1)two-stage方法,如R-CNN系算法,其主要思路是先通过启发式方法(selective search)或者CNN网络(RPN)产生一系列稀疏的候选框,然后对这些候选框进行分类与回归,two-stage方法的优势是准确度高; (2)one-stage方法,如Yolo和SSD,其主要思路是均匀地在图片的不同位置进行密集抽样,抽样时可以采用不同尺度和长宽比,然后利用CNN提取特征后直接进行分类与回归,整个过程只需要一步,所以其优
OpenCore引导配置说明第十一版说明-基于OpenCore-0.6.4正式版
shuiyunxc的博客
12-11 9058
OpenCore引导配置说明第十一版说明-基于OpenCore-0.6.4正式版 一、 OC配置的基本条件与工具软件 1.1、 准备Mac平台,包括实体机平台和虚拟机平台。 1.2、 下载最新镜像并核对MD5,制作安装U盘。 1.3、 工具软件: lover Configurator(Clover配置工具), OpenCore Configurator(持续更新中), Hackintool(综合工具), PlistEdit Pro(Plist文件工具), IORegistryExplorer(路径工具),
OpenCore引导配置说明第十四版-基于OpenCore-0.6.7
shuiyunxc的博客
03-05 6303
OpenCore引导配置说明第十四版-基于OpenCore-0.6.7 一、 OC配置的基本条件与工具软件 1.1、 准备Mac平台,包括实体机平台和虚拟机平台。 1.2、 下载最新镜像并核对MD5,制作安装U盘。 1.3、 工具软件: lover Configurator(Clover配置工具), OpenCore Configurator(持续更新中), Hackintool(综合工具), PlistEdit Pro(Plist文件工具), IORegistryExplorer(路径工具), Bett
读取物理内存恢复ssdt代码
12-04
2. **检测SSDT表变化**:定期检查SSDT表是否发生变化。 3. **恢复SSDT表**:一旦发现SSDT表被修改,则使用备份的原始表来恢复。 #### 示例代码解析 提供的部分代码示例似乎包含了一些错误和不清晰的部分,但我们...
得到操作系统版本号
小驹的专栏
01-15 1万+
IInitWindowsVersion.c //************************************************************************** //* //* //* //*文件说明: //* 获取系统内核版本 //**************************************
ZwQuerySystemInformation 查看系统进程信息
小驹的专栏
05-19 1万+
ZwQuerySystemInformation 查看系统进程信息 #include typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation, SystemProcessorInformation, SystemPerformanceInformation, SystemTimeOfDayInform
内核中的_OBJECT_INFORMATION_CLASS 结构
小驹的专栏
11-03 5400
实际上这个枚举类型有5种typedef enum _OBJECT_INFORMATION_CLASS { ObjectBasicInformation, ObjectNameInformation, ObjectTypeInformation, ObjectAllInformation, ObjectDataInformation} OBJECT_INFORMATIO
hook zwQuerySysteminformation 隐藏进程
小驹的专栏
05-21 5251
代码: #include //#include typedef unsigned long DWORD; #pragma pack(1) typedef struct ServiceDescriptorEntry{ unsigned int *ServiceTableBase; unsigned int *ServiceCountTableBase; unsigned int Nu
object hook实现禁止创建文件
小驹的专栏
11-05 5112
内核 object hook 文件
zwSetSystemInformation加载驱动
小驹的专栏
05-19 4521
zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >
windows内核编程--头文件包含的奇葩的问题
小驹的专栏
09-29 4491
windows 内核 编程 头文件
修复黑苹果dsdt与ssdt错误:详细修改指南
在进行这些修改时,需要注意的是,dsdt和ssdt文件是定义硬件设备和平台交互的关键部分,因此修改时务必谨慎,以免影响系统的正常运行。在完成修改后,务必重新编译并测试,以确认问题是否已解决,并且系统能够稳定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值