zwload隐藏服务加载驱动

最新推荐文章于 2022-11-11 15:34:55 发布
最新推荐文章于 2022-11-11 15:34:55 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: Technology_PC 文章标签: null hook access windows string path
五、隐藏服务:

    普通情况下加载驱动需要 OpenSCManager->CreateService->StartService,这样驱动就会跑到服务管理器中去注册一下自己,并且要隐藏这样加载驱动的服务,不是不行,只是太麻烦而且没效率了。要hook一大堆的服务函数。不过在逆向IS的时候发现了一个不需要去服务管理器注册而直接加载驱动的方法。就是使用ZwLoadDriver(这个函数通常是ring0中加载驱动时用,由于被Ntdll.dll导出,ring3就也能用了)进行直接加载。这样就不用去服务管理器中注册自己,并且这样加载的驱动windows系统工具中的“系统信息”查看器也查不到你,更不用说那些什么服务管理器之类的东东了。屡用不爽。下面介绍一下用法:

    1、首先自己在注册表的服务项中添加一个自己的服务名字项。
    2、在自己添加的服务名字项中添加一些驱动信息(其实就是手工实现CreateService()函数对注册表的那些操作),这些信息包括“ErrorControl”,“ImagePath”,“Start”,“Type”等等。你要手工设置这些键以及键值。

按上面设置完后,来看看ZwLoadDriver的原形:

NTSTATUS
    ZwLoadDriver(
    IN PUNICODE_STRING DriverServiceName );

下面的代码给出了ZwLoadDriver的使用例子:

AnotherWayStartService( TCHAR  * szDir )
{
    HKEY RegKey;
    HKEY hLicenses;
    DWORD disp;
    DWORD ErrorControl = NULL;
    DWORD ProcessID;
    DWORD Start = 3 ;
    DWORD Type = 1 ;
    LONG Regrt;

    DWORD ZwLoadDriver;
    DWORD RtlInitUnicodeString;
    
    UNICODE_STRING RegService;

    PCWSTR    RegServicePath =  L " /Registry/Machine/System/CurrentControlSet/Services/neverdeath " ;

    TCHAR    DriverFilePath[MAX_PATH]  =   " /??/ " ;


        Regrt  =  RegOpenKeyEx (
                    HKEY_LOCAL_MACHINE,
                     " SYSTEM/CurrentControlSet/Services " ,
                     0 ,
                    KEY_CREATE_SUB_KEY  +  KEY_SET_VALUE,
                     & hLicenses );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }

        Regrt = RegCreateKeyEx (
                    hLicenses,
                     " neverdeath " ,
                     0 ,
                     "" ,
                    REG_OPTION_NON_VOLATILE,
                    KEY_ALL_ACCESS,
                    NULL,
                     & RegKey,
                     & disp );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }

            Regrt  =  RegOpenKeyEx (
                        HKEY_LOCAL_MACHINE,
                         " SYSTEM/CurrentControlSet/Services/neverdeath " ,
                         0 ,
                        KEY_CREATE_SUB_KEY  +  KEY_SET_VALUE,
                         & RegKey );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }

        Regrt  =  RegSetValueEx (
                    RegKey,
                     " ErrorControl " ,
                    NULL,
                    REG_DWORD,
                    ( const  unsigned  char   * )( & ErrorControl),
                     4  );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }
        
        strcat(DriverFilePath, szDir);

        Regrt  =  RegSetValueEx (
                    RegKey,
                     " ImagePath " ,
                    NULL,
                    REG_EXPAND_SZ,
                    ( const  unsigned  char   * )( & DriverFilePath),
                    strlen( DriverFilePath ) );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }


        Regrt  =  RegSetValueEx (
                    RegKey,
                     " Start " ,
                    NULL,
                    REG_DWORD,
                    ( const  unsigned  char   * )( & Start),
                     4  );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }
        
        Regrt  =  RegSetValueEx (        
                    RegKey,
                     " Type " ,
                    NULL,
                    REG_DWORD,
                    ( const  unsigned  char   * )( & Type),
                     4  );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }

         // 还记得前面隐藏进程时,我们进程ID是从注册表中取的
         // 下面就是把进程ID写入注册表,不会影响驱动的加载

        ProcessID = GetCurrentProcessId();    

        Regrt  =  RegSetValueEx (
                    RegKey,
                     " ProcessID " ,
                    NULL,
                    REG_DWORD,
                    ( const  unsigned  char   * )( & ProcessID),
                     4  );

         if  ( Regrt  !=  ERROR_SUCCESS ) 
        {
             return   false ;
        }        
        
        CloseHandle( RegKey );


        ZwLoadDriver  =  (DWORD) GetProcAddress ( 
                            GetModuleHandle(  " ntdll.dll "  ), 
                             " ZwLoadDriver "  );

        RtlInitUnicodeString  =  (DWORD) GetProcAddress( 
                                GetModuleHandle(  " ntdll.dll "  ), 
                                 " RtlInitUnicodeString "  );
        
        _asm
        {
            pushad
            push RegServicePath
            lea edi, RegService 
            push edi
            call RtlInitUnicodeString     // 装载UNICODE字符

            lea edi, RegService
            push edi
            call ZwLoadDriver    
            popad
        }

         return   true ;

}

请注意上面这段代码中加载驱动时所使用的注册表路径格式是:
“//Registry//Machine//System//CurrentControlSet//Services//neverdeath”
而不是:
“HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services//neverdeath”
也许你已经想到了那么卸载驱动会不会就是函数“ZwUnloadDriver”?自己试一下不就知道了:)
 
xuplus
关注
专栏目录
易语言进程隐藏驱动加载
06-14
驱动加载可以加载XP,win7的系统驱动隐藏目标的进程ID
通过驱动断链来隐藏驱动
Misaka10046的博客
07-12 2997
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
server2008 加载驱动隐藏文件或文件夹方法,可在webshell下提权后使用,付切实可行办法
如鹿渴慕泉水的专栏
05-20 899
先附上驱动代码,如何调试亲自行查询网上资料,解决windows资源管理器刷新驱动在vs2013下断点需要问题,看代码#include #include #include #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_F
驱动文件隐藏
qq_38807738的博客
06-25 2074
1、服务器使用文件查找hark.asp 未查找到文件。2、检测了第三方js未发现hark.asp。3、检查了CSS等,未发现跳转代码。4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。驱动级的文件隐藏来实现黑帽SEO的,有如下特征:系统目录存在如下文件:c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\...
zwloaddriver
09-23
驱动加载工具zwloaddriver源代码
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4448
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
ZwLoadDriver加载驱动
weixin_34082695的博客
03-29 743
bool driver_zwload(char *strSvcName, char *strDrvPath) { HKEY hKey = NULL; bool bRet = false; char Data[4] = {0}; char strSubKey[MAX_PATH] = {0}; NTSTATUS status; ANS...
使用ZwLoadDriver加载驱动
勿在浮沙筑高台
03-12 854
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 2510
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
驱动SYS
05-03
驱动SYS
一个驱动加载器代码
late0001的专栏
05-10 1478
//原作者:不明(来源于网络) /* 使用方法: 修改DRV_NAME和DRV_FILENAME定义 HANDLE openDriver(void):打开驱动建立的符号链接的句柄 void uninstallDriver(void):卸载驱动(只有把openDriver打开的句柄关闭才可以成功卸载) */ #pragma comment(lib,"user32.lib") #pragma co
NT下实现不通过注册表加载进程的方法
03-24 1471
http://blog.mmbest.com/?6576发布时间2006年10月26日  翻译发布:2006年10月29日译者按:本文提供了一种在win NT下悄声无息的加载驱动”的方法。这里所将的“驱动”并不是指平常的驱动,而是指将程序载入系统的内核中,采用该方式将不通过任何注册表项,因此将无法使用任何方法(包括各种杀毒软件)查出这一加载项,达到隐藏自身的目的。为了翻译的方便,本人暂将里面提到
通过ZwSetSystemInformation和ZwLoadDriver加载驱动(转)
lionzl的专栏
08-27 1688
通过ZwSetSystemInformation和ZwLoadDriver加载驱动(转)2007-09-29 09:13这段时间接触了一点点windows内核以及驱动编写的东西.深知其博大精深难以学习.入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修
通过ZwSetSystemInformation和ZwLoadDriver加载驱动
03-24 1427
入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修改,并在我机器WinXP SP2+VS 2005下编译测试
对"ZwLoadDriver加载驱动" 的补充
blackbean的专栏
12-16 758
加载之前最好要先进行提权工作。
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
最新发布
weixin_41725706的博客
11-11 802
隐藏任意内核驱动
杀毒软件原理 四
木休的斋堂
03-14 1813
过主动原理 安全软件现状 安全套装普及,反病毒软件、软件防火墙与HIPS技术的融合: 主动防御广泛运用 恶意软件面临的问题 所有传统后门、木马、rootkit初次安装以及进行相关操作时均 无法绕过主动防御的监控,采用主动防御技术的安全软件将提示 用户发现安全威胁。 主动防御为什么对恶意软件有威慑力 ? 自启动 ? 绕过软件防火墙而采用的方法 ? 密码截取 ?
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值