弹窗思路

最新推荐文章于 2021-07-20 19:36:13 发布
最新推荐文章于 2021-07-20 19:36:13 发布
阅读量428 收藏 1
点赞数
分类专栏: windows 驱动开发 windbg 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90669253
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

比如有个未知进程A,运行起来被驱动拦截到,收集进程信息,把数据放到OprList里,同时也放到WaitList里,这两个表一一对应,

OperList节点会发到应用层供其弹窗,驱动层等待用户层返回到数据,WaitList存放应用层操作的结果阻塞在。

应用层会开启一个弹窗线程异步读OperList中的数据,然后DeviceIoControl通知驱动,然后驱动在WaitList找到节点进行应用层的操作。

应用层读请求可能OperList是空的,这时Irp会挂起,放在PendingIrpList。一旦驱动发现有新进程,就会先给PendingIrpList。

因为有可能多次攻击,所以给每次进程事件分配一个ID。

整体思路

1.驱动将捕获的操作放入一个等待链表中(包含一个标识ID,一个event,一个等待结果的域),同时将操作内容放入一个内容链表中,并完成来自应用层的读Pendingirp列表

2.等待事件。

 

应用层开启一个独立线程读出(overLapped)驱动链表中的内容。如果没有内容,则挂起到pending irp中

驱动提供自己控制设备的读请求,将链表中的内容提供给应用层读操作

应用层拿到操作内容,弹窗

应用层通过IOCTL下发用户指定结果。

在驱动IOCTL分发函数中,将用户结果放入链表中同ID的结构中

驱动IOCTL分发函数中设置EVENT(事件多个没名字,因为多个攻击并且都是在内核层操作)

驱动拿到用户操作结果

摘掉链表中的操作,获取操作结果

驱动根据操作结果判断允许或者阻止

下发结果

多个弹窗防止内核层超时,可以开多线程,或者可以获取攻击数据函数处加锁。这样多弹窗就是串行了。

内核层可以调用ExRaiseHardError()弹窗

代码片段

前面蓝屏,BAD_POOL_HEADER (19),分析dump文件发现

Unable to get MmSystemRangeStart
Unable to get NonPagedPoolStart
Unable to get PagedPoolStart

后发现ExZreoMemory传错长度导致

//处理应用层的read()函数,就是引用层读取攻击进程数据
NTSTATUS DispatchRead (
    IN PDEVICE_OBJECT	pDevObj,
    IN PIRP	lpIrp) 
{
	NTSTATUS			ntStatus		= STATUS_SUCCESS;
	ULONG				ulLength		= 0;
	PIO_STACK_LOCATION	lpIrpStack		= IoGetCurrentIrpStackLocation(lpIrp);
	OP_INFO				*lpOpInfoEntry	= NULL;
	LIST_ENTRY			*lpOpInfoList	= NULL;
	
	if (lpIrpStack->Parameters.Read.Length < sizeof(RING3_OP_INFO))
	{
		ntStatus = STATUS_INVALID_PARAMETER;
		ulLength = 0;
		goto Completed;
	}
	
	LockWrite(&g_OperListLock);
	
	if (IsListEmpty(&g_OperList) == TRUE)
	{
		UnLockWrite(&g_OperListLock);
		
		LockWrite(&g_PendingIrpListLock);
		PendingIrpToList(lpIrp, &g_PendingIrpList, CommonIrpCancel);//设置取消例程的原因是应用层最后可能要退出,pendingirp要取消掉
		UnLockWrite(&g_PendingIrpListLock);
	
		goto Pended;
	}
	
	lpOpInfoList = g_OperList.Flink;
	lpOpInfoEntry = CONTAINING_RECORD(lpOpInfoList, OP_INFO, m_List);
	RemoveEntryList(lpOpInfoList);
	UnLockWrite(&g_OperListLock);
	
	RtlCopyMemory(lpIrp->AssociatedIrp.SystemBuffer, lpOpInfoEntry, sizeof(RING3_OP_INFO));
	ntStatus = STATUS_SUCCESS;
	ulLength = sizeof(RING3_OP_INFO);
	
	ExFreePool(lpOpInfoEntry);
	
Completed:
	
	lpIrp->IoStatus.Status = ntStatus;
	lpIrp->IoStatus.Information = ulLength;
	IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
	return ntStatus;
	
Pended:
	return STATUS_PENDING;
}
R3_RESULT __stdcall GetResultFromUser()//负责把攻击数据放到operList里
{
    R3_RESULT			NotifyResult	= R3Result_Pass;
    BOOLEAN				bSuccess		=  FALSE;
    NTSTATUS			Status			= STATUS_SUCCESS;
    LARGE_INTEGER		WaitTimeOut		= {0};
    OP_INFO				*lpNewOpInfo	= NULL;
    WAIT_LIST_ENTRY		*lpNewWaitEntry = NULL;
    ULONG_PTR ulPtr = 0;
 
	UNICODE_STRING uFullPath = { 0 };
	uFullPath.MaximumLength = MAX_PATH* sizeof(WCHAR);
	uFullPath.Buffer=ExAllocatePoolWithTag(PagedPool, MAX_PATH * sizeof(WCHAR), 'ELIF');
	RtlZeroMemory(uFullPath.Buffer, MAX_PATH * sizeof(WCHAR));


    lpNewOpInfo = (OP_INFO*)ExAllocatePool(PagedPool, sizeof(OP_INFO));
	RtlZeroMemory(lpNewOpInfo, sizeof(OP_INFO));

    if (lpNewOpInfo == NULL)
    {
        return NotifyResult;
    }

    //设置事件相关的数据,发送给R3,比如进程ID,名字,路径,以及具体操作(创建,修改,删除)等等
	//当然,这里,我们只是简单的捕捉了进程的ID或者名字等
    ulPtr = (ULONG_PTR)PsGetCurrentProcessId();//获得攻击者进程PID
	//拿全路径


	GetProcessFullNameByPid((HANDLE)ulPtr, &uFullPath);
	DbgPrint("uFullPath is %wZ\n", uFullPath.Buffer);
	
	RtlCopyMemory(lpNewOpInfo->m_ProcessName, uFullPath.Buffer, uFullPath.Length);
	ExFreePool(uFullPath.Buffer);

    lpNewOpInfo->m_ulProcessID = (ULONG_PTR)ulPtr;

    lpNewOpInfo->m_ulWaitID = MakeWaitID();//区别不同事件的ID



    lpNewWaitEntry = (WAIT_LIST_ENTRY*)ExAllocatePool(NonPagedPool, sizeof(WAIT_LIST_ENTRY));
    if (lpNewWaitEntry == NULL)
    {
        goto End;
    }

    lpNewWaitEntry->m_ulWaitID = lpNewOpInfo->m_ulWaitID;
    KeInitializeEvent(&lpNewWaitEntry->m_ulWaitEvent, SynchronizationEvent, FALSE);
	
    // 插入等待队列,等待R3下发结果
    LockWrite(&g_WaitListLock);
	InsertTailList(&g_WaitList, &lpNewWaitEntry->m_List);
    UnLockWrite(&g_WaitListLock);



    LockWrite(&g_PendingIrpListLock);
    bSuccess = CompletePendingIrp(&g_PendingIrpList, lpNewOpInfo);//查看是否有未完成的pendingIRP,直接将该OperInfo传给R3
    UnLockWrite(&g_PendingIrpListLock);

	if (bSuccess == FALSE)	//完成pending irp失败,将lpNewOpInfo插入operlist
	{
        LockWrite(&g_OperListLock);
        InsertTailList(&g_OperList, &lpNewOpInfo->m_List); //插入OperList,等待R3来读取
        UnLockWrite(&g_OperListLock);
   
        lpNewOpInfo = NULL;
	}

	// 等40秒,环3是30秒超时
    WaitTimeOut.QuadPart = -40 * 10000000;
	Status = KeWaitForSingleObject(&lpNewWaitEntry->m_ulWaitEvent, 
		Executive, KernelMode, FALSE, &WaitTimeOut);//等待R3下发允许或阻止操作

    LockWrite(&g_WaitListLock);
    RemoveEntryList(&lpNewWaitEntry->m_List);
    UnLockWrite(&g_WaitListLock);

    if (Status != STATUS_TIMEOUT)
    {
        if (lpNewWaitEntry->m_bBlocked == TRUE)
        {
            NotifyResult = R3Result_Block;
        }
        else
        {
            NotifyResult = R3Result_Pass;
        }
    }
    else
    {
        NotifyResult =  R3Result_DefaultNon;
    }

End:
    if (lpNewWaitEntry != NULL)
    {
        ExFreePool(lpNewWaitEntry);
    }
    if (lpNewOpInfo != NULL)
    {
        ExFreePool(lpNewOpInfo);
    }
    return NotifyResult;
}

//通过DeviceIoControl(),R3向内核传递弹窗结果,将对应的WaitID事件设置用户选择结果以及//攻击拦截模仿
NTSTATUS DispatchControl(
    IN PDEVICE_OBJECT DeviceObject, 
    IN PIRP Irp 
    )
{
    PIO_STACK_LOCATION      	lpIrpStack			= NULL;
    PVOID                   	inputBuffer			= NULL;
    PVOID                   	outputBuffer		= NULL;
    ULONG                   	inputBufferLength	= 0;
    ULONG                   	outputBufferLength	= 0;
    ULONG                   	ioControlCode		= 0;
    NTSTATUS		     		ntStatus			= STATUS_SUCCESS;
	
    ntStatus = Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = 0;
	//获取当前IRP堆栈位置
	lpIrpStack = IoGetCurrentIrpStackLocation (Irp);
	//获得输入缓冲和长度
	inputBuffer = Irp->AssociatedIrp.SystemBuffer;
	inputBufferLength = lpIrpStack->Parameters.DeviceIoControl.InputBufferLength;
	//获得输出缓冲和长度
	outputBuffer = Irp->AssociatedIrp.SystemBuffer;
	outputBufferLength = lpIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
	//获取控制码
	ioControlCode = lpIrpStack->Parameters.DeviceIoControl.IoControlCode;
		
	switch (ioControlCode ) 
	{
		case IOCTL_SEND_RESULT_TO_R0://R3向内核传递弹窗结果,将对应的WaitID事件设置用户选择结果
		{
				RING3_REPLY			*lpReply		= NULL;
				WAIT_LIST_ENTRY		*lpWaitEntry	= NULL;
							
				if (lpIrpStack->Parameters.DeviceIoControl.InputBufferLength < sizeof(RING3_REPLY))
				{
						Irp->IoStatus.Information = 0;
						Irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
						break;
				}
				lpReply = (RING3_REPLY*)Irp->AssociatedIrp.SystemBuffer;
							
				LockWrite(&g_WaitListLock);
				lpWaitEntry = FindWaitEntryByID(&g_WaitList, lpReply->m_ulWaitID);//根据WaitID,找到对应的拦截事件
							
				if (lpWaitEntry != NULL)
				{
						lpWaitEntry->m_bBlocked = lpReply->m_ulBlocked;
						KeSetEvent(&lpWaitEntry->m_ulWaitEvent, 0, FALSE);//设置EVENT事件,唤醒GetResultFromUser()里的等待事件
				}
							
				UnLockWrite(&g_WaitListLock);
							
				Irp->IoStatus.Information = 0;
				ntStatus = Irp->IoStatus.Status = STATUS_SUCCESS;
		}
		break;

		case IOCTL_XXX_ATTACK://攻击拦截模仿
		{
				R3_RESULT notifyResult = R3Result_DefaultNon; 

							
				notifyResult = GetResultFromUser();//从R3获得弹框结果,是阻止还是放过
				if (notifyResult == R3Result_Block)
				{
						DbgPrint("阻止\n");
						*(ULONG *)outputBuffer = 0;
						ntStatus = STATUS_SUCCESS;
				}
				else if (notifyResult == R3Result_Pass)
				{
						DbgPrint("允许\n");
						*(ULONG *)outputBuffer = 1;
						ntStatus = STATUS_SUCCESS;
				}
				else
				{
						DbgPrint("超时允许\n");
						*(ULONG *)outputBuffer = 1;
						ntStatus = STATUS_SUCCESS;
				}

		}
		Irp->IoStatus.Information = sizeof(ULONG);
		Irp->IoStatus.Status = ntStatus;
		break;

		default:
		break;
	}
		
	IoCompleteRequest( Irp, IO_NO_INCREMENT );
	return ntStatus;  
}

应用层就是开线程弹窗,然后提供选项拦截或放行。

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN10蓝屏 代码 IRQL_NOT_LESS_OR_EQUAL (a) 求助
XiaoXiaoXIAOxxx的博客
04-15 1019
以下为WINDBG日志,附件为DMP文件,求大佬帮助。
内核态进程管理器Intercessor和实现细节
jingzu的专栏
11-27 2127
 标 题: 【原创】内核态进程管理器Intercessor和实现细节 作 者: greatcsk 时 间: 2007-09-05,20:20 链 接: http://bbs.pediy.com/showthread.php?t=51157 BLOG原文:http://www.csksoft.net/blog/post/Intercessor_taskmgr.html 相关文件: 已经修
windows内核情景分析笔记---虚存向物理页面的映射
lycommand的专栏
04-04 1621
既然懂了虚存和物理存储的管理,下面谈谈虚存向物理存储的映射 首先看第一个函数 NTSTATUS NTAPI MmCreateVirtualMapping(PEPROCESS Process,                        PVOID Address,                        ULONG flProtect,                    
内存填零杀进程
小驹的专栏
11-04 4442
内存填零杀进程效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护...c代码:PHYSICAL_ADDRESS g_physicalPage;VOID DestoryProess(ULONG eproc){ ULONG ulEndAddress = (ULONG)MmSystemRangeStart; PHYS
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
自己代码的BAD_POOL_HEADER (19)dump查看
kernweak的博客
05-30 1084
******************************************************************************* * * * Bugcheck Analy...
一种顺序显示弹窗的实现思路 iOS
04-06
标题“一种顺序显示弹窗的实现思路 iOS”指出,这是一种解决如何按照预设优先级顺序依次弹出弹窗的方案。描述中提到,该实现由bestDew作者提供,源码存储于ZKAlertPriorityDemo.git仓库,适用于系统弹窗(不包括权限...
jquery ui dialog实现弹窗特效的思路及代码
11-30
为了让弹窗在初始时不自动打开,我们需要设置`autoOpen`属性为`false`。这是一个基本的HTML结构: ```html 我的弹窗" style="display:none;"> <!-- 弹窗内容 --> ``` 接下来,我们需要引入jQuery库和jQuery UI的...
电脑右下角弹窗NotifyIconTest.rar 仿qq消息弹窗
03-26
压缩包中包含的"新建文本文档.txt"可能是用来记录代码、设计思路或相关说明的文档。在开发`NotifyIcon`程序时,这样的文本文件可能包含了源代码、设计文档或者开发者留下的调试注释。 理解并掌握`NotifyIcon`的...
jQuery弹窗放大缩小关闭插件特效代码
03-20
掌握这些知识点,不仅有助于我们理解和使用现有的插件,也能为我们开发自己的弹窗插件提供宝贵的思路。在实际应用中,我们可以根据项目需求,进一步优化和扩展这些功能,以满足用户的多样化需求。
枚举进程,模块,服务,网络连接以及流量监控
11-11
枚举进程,模块,服务,网络连接以及流量监控
机器学习实践-梦幻西游战斗弹窗、成语弹窗、移动弹窗
最新发布
08-23
机器学习实践-梦幻西游战斗弹窗、成语弹窗、移动弹窗 核心功能: 战斗弹窗:四个小人中选择一个朝向正面的。 实现方式:利用tensorflow训练一个卷积神经网络(cnn), 识别图片中人物的正或反 成语弹窗:根据给定的...
32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 968
0x01 前言   我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
Windows内存管理---3
For Geek
05-19 471
虚存页面的映射 有了对一个虚存空间的管理和对物理页面的分配管理。下一步自然就是建立二者之间的映射了。页面映射,指从虚存页面到物理页面的映射。多个虚存页面可以映射到同一个物理页面上(例如系统那里,SharedUserData就是内核和用户空间的一块虚拟空间映射到了同一物理页面上),但是同一时间内不可能会有多个物理页面对应于同一个空间的同一个虚存页面上。 虚存页面顾名思义是“虚”的,必须通过映射落实到...
Windows内存管理---5
For Geek
05-22 838
页面异常 在为交割而分配一个区间时,区块的类型是MEM_COMMIT,此后这个区间就可以被访问了。但是,所谓“交割”也只是逻辑上的操作,并未落实到实际的物理页面的映射。于是,用户空间的程序在系统调用成功返回后就可能访问这个区间,然而一访问就因缺页异常而发生页面异常,因为此时实际上尚未建立起物理页面的映射。 发生页面异常时,内核走过类似于中断的过程,因异常的原因为页面异常而进入页面异常处理程序MmA...
简单认识Anti-RootKit
weixin_34107955的博客
11-30 99
现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争呵呵,现在很多病毒***已经广泛的带有驱动,使用一些RK的技术和方法使自己更底层些更强大些,当前流行的A...
深入理解Windows内存管理---1
For Geek
05-17 1106
内存管理简介 作为一个合格的操作系统,为不同进程之间及用户和内核之间要提供隔离机制。 实现这些基本要求的手段,就是采用基于页面映射的**“虚拟内存”机制,或者说提供“页管理机制”**。 硬件上,这是由CPU内部的“存储管理单元”MMU(Memory Manage Unit)支持的。现代的处理器一般都带有MMU。 软件上,则是由系统内核中的内存管理模块来实现的。 内存管理的解释 广义的内存管理,指...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8843
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
在vue中二次封装弹窗思路
05-17
在Vue中二次封装弹窗的基本思路如下: 1. 创建一个基础弹窗组件,可以接收一些基本参数,例如标题、内容、确认按钮、取消按钮等。 2. 在基础弹窗组件的基础上,创建一个二次封装的组件,通过传递不同的参数,可以实现不同样式的弹窗,例如警告弹窗、确认弹窗、信息提示弹窗等。 3. 在二次封装的组件中,可以通过插槽(slot)的方式,让用户自定义弹窗的内容,例如自定义标题、自定义按钮等。 4. 在二次封装的组件中,可以使用 Vue 的 $emit 方法,向父组件传递用户的操作结果,例如用户点击确认按钮或取消按钮时,可以通过 $emit 方法向父组件传递相应的事件。 5. 在父组件中,可以通过监听 $emit 方法的方式,获取用户的操作结果,并进行相应的处理。 通过这种方式,可以将弹窗的样式、功能进行统一封装,提高代码的复用性和可维护性。同时,通过插槽和 $emit 方法,也可以实现弹窗的自定义和交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值