驱动加载监控x86

最新推荐文章于 2021-10-30 23:33:46 发布
最新推荐文章于 2021-10-30 23:33:46 发布
阅读量1.1k 收藏
点赞数
分类专栏: 驱动学习 文章标签: 驱动监控 监控 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114216
版权
本文探讨了如何在x86平台上进行驱动加载的监控,通过分析ZwAlpcSendWaitReceivePort函数,结合看雪安全论坛的原创总结,提供了一种精确判断SCM加载的方法。文中包含关键代码片段。
摘要由CSDN通过智能技术生成
Hook_ZwLoadDriver
HOOK_ZwSetSystemInformation
NTSTATUS
NTAPI HOOK_NtSetSystemInformation
(
IN ULONG SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength
)
((SystemInformationClass == SystemLoadAndCallImage)   
(SystemInformationClass == SystemLoadImage))


//问题 在ZwLoadDriver中 如果是用SCM加载驱动,那么得到的进程路径是server.exe,解决的方法是hook下面的函数
XP:
NtRequestWaitReplyPort 
Win7:

ZwAlpcSendWaitReceivePort 


Unhook需要通过deviceiocontrol来进行


参考【原创】总结一把,较为精确判断SCM加载 - 看雪安全论坛

部分代码:


#include "precomp.h"

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
    unsigned int *ServiceTableBase;
    u
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
Win64 驱动内核编程-13.回调监控模块加载
天使也掉毛
03-12 4545
回调监控模块加载     模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们 分别是 PsSetLoadIm
驱动加载监控
kernweak的博客
05-31 1552
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
Windows 回调监控
kingswb的博客
05-17 691
在之前的文章Windows 回调监控  总结了关于CreateProcessNotify,CreateProcessNotifyEx和LoadImageNotify一些用法,之后产生了一个思路,既然在进程创建的时候加载.exe文件会执行我们的回调函数,那么如果在我们回调函数之中对内存中的.exe文件的导入表增加一个项,这样进程会不会加载我们事先准备好的.dll文件,如果成功加载我们的dll话,就注
写一个SSDTShadow Hook
ccx_john的专栏
10-18 1173
我本菜鸟,班门弄斧之辈,大牛不要笑话。 以下程序名称为BugHook,是在Win7sp1X64上对SSDTShadow::NtUserFindWindowEx进行Hook: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
X86驱动注入源码-易语言
06-11
在IT领域,驱动注入是一种技术,它涉及到向操作系统内核动态加载自定义代码,通常是用于监控、调试或者篡改系统行为。"X86驱动注入源码-易语言"这个主题,显然指的是使用易语言(一种流行的中文编程语言)编写的一段...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
它不仅展示了如何在x86环境下操作SSDT,还可能涉及调试技巧、内核模块加载和卸载机制、以及驱动程序的签名和安全策略等内容。通过阅读和分析源代码,开发者可以更深入地理解Windows操作系统的工作原理和系统服务的...
IBM-X3750M4-阵列卡5210Efor2008X86驱动
08-17
在安装2008 x86系统时,由于该系统基于传统的BIOS引导模式,因此在引导过程中需要加载阵列卡驱动。这通常意味着在安装过程中,用户需要手动加载或提前将驱动集成到系统安装媒介中。"win2k8-32"这个文件可能是为...
华为服务器 安装server2008R2所需阵列卡驱动.zip
03-12
7. **性能监控**:安装正确驱动后,应使用系统自带的工具或第三方软件监控阵列卡性能,如I/O速率、错误率等,以确保服务器的健康运行。 总结来说,理解并正确安装华为服务器的阵列卡驱动对于高效、稳定的服务器运营...
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用CreateRemoteThread函数注入线程,使用NtCreateThreadEx函数注入线程,源代码包含C,C#的demo
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1058
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
SystemCrashDumpStateInformation加载驱动
04-14 789
使用如下代码可将系统中的atapi.sys (如果你的机器磁盘PORT驱动是atapi.sys的话,如果是scsiport的话会有不同)加载到系统中。模块名为dump_atapi.sys(如果已配置了生成dump则无法生效)HMODULE hlib = LoadLibrary("ntdll.dll");PVOID p = GetProcAddress(hlib , "NtSetSystemIn
获取Powershell命令行参数
被遗弃的庸才博客
08-12 2363
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include <ntimage.h> #include <ntstrsafe.h> typedef struct _LDR_DATA_TABLE_
破译A盾禁止加载驱动失效之谜
kingswb的博客
05-15 2078
离职在家有一段日子了,闲来无事,看下了A盾的代码(版本为0.2.5),从资料中看到他禁止驱动加载的逻辑是: 系统加载驱动要调用ZwLoadDriver或者ZwSetSystemInformation函数来实现。而这两个函数又都必调用SeSinglePrivilegeCheck来检查权限,所以A盾利用inline hook技术hook了SeSinglePrivilegeCheck函数,当指令流执行
golang get process name by pid
期待幸福
10-30 1118
一个很好的问题:How golang to get process name by process id (pid)? 目前看来go api并没有提供通过pid获取进程名称的方法,可以通过 /proc/<pid>/cmdline来获取对应的进程名称,也可以通过 readlink /proc/6530/exe 来获取 /proc/<pid>/cmdline 获取的为运行进程的名称,通常包含一些特殊字符。例如 "-bash\x00",sshd: root@pts/0 readlin.
驱动框架笔记
kernweak的博客
05-21 306
驱动框架 R3操作一个文件 create->read/write/deviceiocontrol->clean->close DIspatch分发函数存放在Driverobject的一个数组MajorFunction里。0x1b个,28个。用来接收应用层API请求。就是应用层的请求封装在一个IRP包,请求内核操作。 驱动有两个模型,NT模型和WDM模型。 NT模型 ...
驱动是如何运行的
zhuhuibeishadiao
03-31 1052
已我所知 1.创建一个服务(通过注册表) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XXX (ps:通过枚举这个表可以得到所有服务 还能知道他们的类型) 其中GROUP与Start决定了驱动加载的早晚 若Start相同 则根据在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr
《Windows内核原理与实现》-------函数,结构,全局变量的所在页数
走在北风里
11-08 719
最近学习《Windows内核原理与实现》发现其博大精深,粗略过了一遍,很多东西比较茫然,看书之余把书中涉及的函数,结构,全局变量的所在页数总结出来,便于以后查阅。 由于半自动半手工,难免有写错的地方,如有发现还请留言通知,谢谢。 函数 函数名称 所在页数 _KeSystemStartup 149 _KiExceptionExit 341 _KiFastCallEntry 552 554 _KiServiceExit 553 _KiShutUpAssembler 321 _
nvidia imx390驱动移植
最新发布
08-01
4. 调试和测试:在目标平台上加载和测试驱动程序,确保其正常运行。 5. 优化和集成:根据需求对驱动程序进行优化,并将其集成到目标平台的操作系统中。 需要注意的是,驱动移植是一个复杂的过程,需要一定的专业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值