PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径

最新推荐文章于 2023-12-01 16:32:45 发布
最新推荐文章于 2023-12-01 16:32:45 发布
阅读量1k 收藏
点赞数
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yedehei_lt/article/details/80739286
版权
本文档展示了如何使用内核模式API `PsSetLoadImageNotifyRoutine` 来获取加载模块的完整路径。代码示例中包含了内存分配、对象管理、句柄操作的相关函数,以及获取符号链接对象和设备卷名的方法。
摘要由CSDN通过智能技术生成
PsSetLoadImageNotifyRoutine

#include <ntifs.h>
#include <ntddk.h>
#include <Ntstrsafe.h>
#include <fltKernel.h>


//删除指针
#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pData=NULL;} }

//减少对象引用计数
#define SafeDereferenceObject(Object) { if(Object){ObDereferenceObject(Object);Object=NULL;} }

//关闭句柄
#define SafeCloseHandle(Handle) { if(Handle){ZwClose(Handle);Handle=NULL;} }



//分配内存
PUNICODE_STRING ExAllocateUnicodeStingPool(PUNICODE_STRING strBuff)
{
        PUNICODE_STRING AllocateString = NULL;
        if (MmIsAddressValid(strBuff) == FALSE || strBuff == NULL || strBuff->Buffer == NULL || strBuff->Length < sizeof(wchar_t))
        {
                ASSERT(FALSE);
                return NULL;
        }


        AllocateString = ExAllocatePool(NonPagedPool, sizeof(UNICODE_STRING) + strBuff->Length + sizeof(wchar_t));
        if (AllocateString == NULL)
        {
                ASSERT(FALSE);
                return NULL;
        }

        RtlZeroMemory(AllocateString, sizeof(UNICODE_STRING) + strBuff->Length + sizeof(wchar_t));
        AllocateString->Length = strBuff->Length;
        AllocateString->MaximumLength = AllocateString->Length + sizeof(wchar_t);
        AllocateString->Buffer = (PWSTR)(((PUCHAR)AllocateString) + sizeof(UNICODE_STRING));
        RtlCopyMemory(AllocateString->Buffer, strBuff->Buffer, strBuff->Length);

        return AllocateString;
}

//获取符号链接对象
NTSTATUS GetSymbolicLinkObject(PUNICODE_STRING pDeviceLinkName, PDEVICE_OBJECT* pDeviceObject, PFILE_OBJECT* pFileObject,PUNICODE_STRING* pDeviceVolumeName)
{
        NTSTATUS status = STATUS_UNSUCCESSFUL;
最低0.47元/天 解锁文章
yedehei_lt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
逆向病毒nvmini.sys--编译通过-
03-24 2121
/******************************************************************************************** Module : nvmini.c** Author : sudami [sudami@163.com]* Time : 08/02/28** Comment:* 去年月份强悍的“马吉斯(Worm.Magistr
基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块(卸载DLL、EXE和sys等加载)
苞米地里捉小鸡的博客
09-21 3611
背景 对于内核层实现监控模块的加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRoutine 内核函数,可以设置一个回调函数,来监控监控模块加载。 现在,本文就使用 PsSetLoadI
驱动开发:内核监视LoadImage映像回调
CSDN
10-25 8995
映像监视,当有模块被系统加载时则可以第一时间获取到加载模块信息,需要注意的是该回调函数内无法进行拦截,如需要拦截则需写入返回指令这部分内容将在下一章进行讲解,本章将主要实现对模块的监视功能。监视模块加载与卸载需要费别使用两个函数,这两个函数的参数传递都是自己的回调地址。那么如何实现监视映像加载呢,来看如下完整代码片段,首先。运行这个驱动程序,则会输出被加载的驱动详细参数。将带大家继续探索一个新的回调注册函数,注册回调,当有模块被加载则自动执行。得出是什么类型的模块,然后再通过。回调,并通过该回调实现了。
7.3 Windows驱动开发:内核监视LoadImage映像回调
CSDN
12-01 1万+
PsSetLoadImageNotifyRoutine和PsRemoveLoadImageNotifyRoutine是Windows操作系统提供的两个内核API函数,用于注册和取消注册LoadImage映像的回调函数。 LoadImage映像回调函数是一种内核回调函数,它可以用于监视和拦截系统中的模块加载事件,例如进程启动时加载的DLL、驱动程序等。当有新的模块被加载时,操作系统会调用注册的LoadImage映像回调函数,并将加载模块的相关信息传递给回调函数。
精选_基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块_源码打包
03-10
在这个源码打包中,`ring0-pssetloadimagenotifyroutine`可能包含了一个示例驱动程序或者系统服务,演示了如何正确地使用`PsSetLoadImageNotifyRoutine`。通过学习这个源码,开发者可以了解如何在实际项目中实现类似...
《导入表内注入代码》文章代码
02-22
《导入表内注入代码》文章代码,本文介绍注入代码到PE(Portable Executable可移植的执行体)文件格式的Import Table(导入表,也有译为“引入表”)技术,其也被称为API重定向技术(API redirection technique)。
dll加载作品 拦截sleep
07-30
标题中的“dll加载作品 拦截sleep”指的是一个使用动态链接库(DLL)技术来实现特定功能的程序,这个功能涉及到拦截系统函数 `Sleep` 的调用。DLL 是 Windows 操作系统中的一种机制,它允许多个程序共享同一段...
郁金香vc过驱动保护
05-15
驱动通过ObOpenObjectByPointer等函数的Hook,改变了原本的系统调用路径,使得外部无法正常访问和调试受保护的游戏进程。例如, TesSafe.sys通过在NtOpenProcess中插入跳转指令,使得系统调用实际执行的是 TesSafe的...
驱动开发:内核运用LoadImage屏蔽驱动
热门推荐
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件
一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
kingswb的博客
05-21 5686
标 题: 【原创】一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码 作 者: oxlwj 时 间: 2011-09-11,10:43:53 链 接: http://bbs.pediy.com/showthread.php?t=139986 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ 
PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-12 3168
dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA
摘除XP系统LoadImageNotifyRoutine回调例程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 4070
在XP系统下调用PsSetLoadImageNotifyRoutine注册LoadImage回调例程,就能够在每个进程或者DLL加载的时候注册的例程得到回调。 看看PsSetLoadImageNotifyRoutine的代码 kd> u PsSetLoadImageNotifyRoutine L22 nt!PsSetLoadImageNotifyRoutine: 805c718c 8b
监视远程线程的创建[收藏]
Purpleendurer@CSDN
03-09 2185
监视远程线程的创建作者: 一块三毛钱邮件: zhongts@163.com日期: 2004.12.29    远程线程技术被大量的使用在木马、蠕虫等软件当中,通过在别的进程中插入线程的方式运行代码,具有相当高的隐蔽性。比如常见的 Explorer.exe 进程中有十几个线程同时运行,在其中插入一个线程后,谁也分辨不出来哪个就是插入的远程线程。本文提供了一种方法可以监视远程线程的创建活动,记录下来远
驱动开发:内核枚举LoadImage映像回调
CSDN
10-20 1万+
映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略。中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核。如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是。增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。首先定位到,能够找到。
7.4 Windows驱动开发:内核运用LoadImage屏蔽驱动
最新发布
CSDN
12-01 4385
要想实现`驱动屏蔽`其原理很简单,通过`ImageInfo->ImageBase`得到镜像基地址,然后调用`GetDriverEntryByImageBase`函数来得到程序的入口地址,找NT头的`OptionalHeader`节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入`ret`返回指令,即可实现屏蔽加载特定驱动文件
Windows驱动开发学习记录-内核模式下字符串后缀匹配
时空之中的灵魂
08-27 523
1、前提环境 最近系统学习驱动开发,抱着学以致用的态度,计划做一个基本的系统加载驱动过滤,其中遇到字符串匹配的问题,记录一下。 1.1、使用PsSetLoadImageNotifyRoutine创建回调 NTKERNELAPI NTSTATUS PsSetLoadImageNotifyRoutine( _In_ PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine ); ...
拦截驱动加载
吾无法无天的博客
09-04 1597
思路 简单粗暴,直接注册一个模块监听,然后当目标驱动加载时hook它的驱动加载函数,直接返回成功,对付一下比较简单的驱动保护效果屡试不爽 获取DriverEntry PVOID GetDriverEntryByImageBase(PVOID ImageBase) { PIMAGE_DOS_HEADER pDOSHeader; PIMAGE_NT_HEADERS64 pNTHeader; PVOID pEntryPoint; pDOSHeader = (PIMAGE_DOS_HEADER)ImageB
windows驱动如何监控驱动退出并停止服务
05-05
要监控Windows驱动的退出并停止服务,可以使用Windows内核模式编程技术。以下是实现此目标的一般步骤: 1.编写内核模式驱动程序,并为其创建一个服务。在服务中,可以使用CreateService函数来创建一个Windows服务。 2.在驱动程序中,使用PsSetLoadImageNotifyRoutine函数来设置驱动加载通知例程。这个例程会在每次加载新驱动程序时被调用。 3.在驱动加载通知例程中,检查新驱动程序是否是你要监控的驱动。如果是,就为其创建一个设备对象,并使用IoRegisterShutdownNotification函数来注册一个关机通知例程。 4.在关机通知例程中,停止驱动服务并释放相应资源。 以下是一个示例代码,用于演示如何监视驱动程序退出并停止服务: ``` #include <ntddk.h> UNICODE_STRING g_DriverName = RTL_CONSTANT_STRING(L"YourDriverName"); VOID ShutdownNotifyRoutine(PDEVICE_OBJECT DeviceObject) { // Stop driver service and release resources // ... } VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ProcessId, PIMAGE_INFO ImageInfo) { if (RtlEqualUnicodeString(FullImageName, &g_DriverName, TRUE)) { PDEVICE_OBJECT DeviceObject; NTSTATUS status = IoCreateDevice(DriverObject, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, &DeviceObject); if (NT_SUCCESS(status)) { IoRegisterShutdownNotification(DeviceObject); } } } NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { // Create driver service // ... // Set driver load image notify routine PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine); return STATUS_SUCCESS; } ``` 注意,在实际实现中,需要根据具体情况对代码进行修改和扩展。此外,内核模式编程需要特殊的技能和经验,需要谨慎操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值