KdMapper被加载驱动的实现

已于 2023-09-04 17:09:17 修改
阅读量1.3k 收藏 5
点赞数 1
分类专栏: Windows内核 文章标签: 驱动开发 windows c++
于 2023-09-04 17:08:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuting__xf/article/details/132673437
版权

1.背景

  内核映射器有较多年历史了,其中KdMapper是比较著名的,原版中它使用intel的驱动漏洞可以无痕的加载未经签名的驱动。本文章对被加载的驱动的实现进行简单的介绍。

2.常规实现

  正常情况下,驱动是被KdMapper加载到内存,然后解析导入函数后直接调用其入口函数,故其加载的驱动有以下要求:

2.1 禁用安全检查

  

2.2 入口点为自定义函数

  

2.3 不能使用入口函数的参数

  入口函数的两个参数 PDRIVER_OBJECT 和 PUNICODE_STRING 不能使用,因为KdMapper在进行无痕加载时并未初始化这两个参数,所以一般情况下驱动代码如下:

NTSTATUS CustomDriverEntry(
	_In_ PDRIVER_OBJECT  kdmapperParam1,
	_In_ PUNICODE_STRING kdmapperParam2
)
{
	UNREFERENCED_PARAMETER(kdmapperParam1);
	UNREFERENCED_PARAMETER(kdmapperParam2);
	
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "Hello world!,This is called by KdMapper\r\n");
	return 1;
}

  

2.4 常规测试效果

  如图:

  调试加载的驱动后仅打印一句消息,然后可以是进行一些操作,只是没有 PDRIVER_OBJECT 和 PUNICODE_STRING。

3. 可创建设备实现

3.1 代码实现

  由于没有 PDRIVER_OBJECT 参数,即没有驱动对象,这些创建设备之类的都不可行,但也有方法来创建驱动对象,即使用未文档化 IoCreateDriver来创建。

  实现代码如下:


#include <ntddk.h>

EXTERN_C
NTKERNELAPI
NTSTATUS IoCreateDriver(PUNICODE_STRING DriverName, PDRIVER_INITIALIZE InitializationFunction);

NTSTATUS DriverLoad(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegisteryPath) 
{
	UNREFERENCED_PARAMETER(RegisteryPath);
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "This is DriverLoad By IoCreateDriver\r\n");
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "DriverObject is 0x%p\r\n", DriverObject);
        return STATUS_SUCCESS;
}

NTSTATUS CustomDriverEntry(
	_In_ PDRIVER_OBJECT  kdmapperParam1,
	_In_ PUNICODE_STRING kdmapperParam2
)
{
	UNREFERENCED_PARAMETER(kdmapperParam1);
	UNREFERENCED_PARAMETER(kdmapperParam2);
	
	DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "Hello world!,This is called by KdMapper\r\n");

        UNICODE_STRING DriverName;
        RtlInitUnicodeString(&DriverName, L"\\Driver\\HelloWorld");
        IoCreateDriver(&DriverName, &DriverLoad);
	return 1;
}

3.2 实现效果

  可以看到生成的DriverObject地址,有了DriverObject就可以创建设备并进行通讯了,如图:

禁锢在时空之中的灵魂
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KDMapper:数据可视化的新星,带你探索知识图谱的奥秘
gitblog_00046的博客
04-24 474
KDMapper:数据可视化的新星,带你探索知识图谱的奥秘 项目地址:https://gitcode.com/FiYHer/kdmapper 在大数据时代,如何将复杂的数据关系以直观的方式呈现出来,是许多开发者和分析师面临的挑战。KDMapper 就是一个专注于解决这个问题的开源项目,它是一个强大的、基于浏览器的知识图谱可视化工具。本文将深入解析其技术特性,应用场景以及为何你应该考虑使用它。 项...
x64加载驱动方法,x64驱动各类型hook教程
01-16
这篇教程可能包含了如何在64位环境下编写和加载驱动程序,以及如何实现不同类型的Hook技术。 首先,我们来讨论x64加载驱动的方法。在Windows系统中,驱动程序通常通过系统服务来加载,这涉及到驱动注册、系统调用...
KdMapper扩展实现之虚拟地址转物理地址
时空之中的灵魂
09-04 460
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能时遇到的问题,需要大家对KdMapper的代码有一定了解。在中有很多利用MmMapIoSpace和ZwMapViewOfSection将物理内存映射后进行内存数据读写的情况,一般情况下需要先将虚拟地址转换为物理地址,内核中使用MmGetPhysicalAddress即可。但有发现大多数的漏洞驱动并没有MmGetPhysicalAddress的利用。
Kdmapper-Bypass360:绕过360安全检测的神器
gitblog_00034的博客
04-21 473
Kdmapper-Bypass360:绕过360安全检测的神器 项目地址:https://gitcode.com/fuluke/Kdmapper-Bypass360 项目简介 Kdmapper-Bypass360 是一个开源项目,由开发者 Fuluke 创建,旨在帮助开发者和安全研究人员绕过360杀毒软件的安全检测。通过此工具,你可以测试你的代码或应用程序,了解它们在360安全防护下的行为,从而进...
探索未来游戏反作弊的利器:一款基于kdmapper的内存读取神器
最新发布
gitblog_00040的博客
06-15 388
???? 探索未来游戏反作弊的利器:一款基于kdmapper的内存读取神器 项目地址:https://gitcode.com/SamuelTulach/meme-rw 1. 项目概览 在瞬息万变的游戏开发领域,保护游戏不被外挂侵扰是一大挑战。今天,我们特别为您介绍一款源起于kdmapper的经典之作——一个无需驱动即可高效访问受保护游戏内存的秘密武器。这个项目不仅展示了技术创新的力量,更提供了游戏开发者...
高级红队之驱动通信隐藏技术
2301_80127209的博客
11-14 359
上一章简单说了驱动在无签名时如何进行加载,但我们加载后还需要与三环建立通信。如果我们使用IO进行通信,在使用mapper加载后会蓝屏且很容易被发现。劫持通信.data ptr技术。
kdmapper:KDMapper是利用iqvw64e.sys Intel驱动程序手动映射内存中未签名驱动程序的简单工具
03-31
KDMapper 原始创作者 由更新和改进 已从Windows 10 1607测试到当前的Windows 10 20H2 :check_mark: 更新主要针对UnknownCheats论坛 KDMapper是利用iqvw64e.sys Intel驱动程序手动映射内存中未签名驱动程序的简单工具 修正: Hook "NtQueryInformationAtom" which exists in all windows versions Fixed unable to load /GS- compiled drivers 改进之处: Implemented NtLoadDriver and NtUnloadDriver for less traces Prevent load if \Device\Nal exists (Prevents BSOD) Automatic clear PiDDBCac
kdmapper-master_iqvw64e.sys_WritetobeRead_first178_ManualMap_C++
09-29
So this driver (iqvw64e.sys) comes as part of Intel LAN drivers and it allows to copy read and write user/kernel memory map physical memory and perform virtual to physical address translation.For code execution: I used a method described here (Executing shellcode)Your driver must be compiled with /GS- option and have custom driver entry point defined. (Basically the same kind of driver that you would use with drvmap or any other driver manual mapper)
KdMapper扩展实现之ASUS(GLCKIo.sys)
时空之中的灵魂
09-05 206
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
KdMapper扩展实现之ASUS(ATSZIO64.sys)
时空之中的灵魂
09-04 191
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
无签名驱动加载工具
02-08
标题 "无签名驱动加载工具" 暗示我们讨论的主题是关于在操作系统中加载未经过数字签名的驱动程序的工具。在Windows系统中,为了确保系统的稳定性和安全性,微软强制要求驱动程序必须经过数字签名,以验证其来源和...
通俗易懂的通用Mapper教程(含配套资料)
06-14
本教程为授权出品 通用Mapper是一款非常好用的MyBatis插件,它能够帮助我们自动生成常用增删改查操作的SQL语句,克服MyBatis开发过程中需要大量编写SQL语句的弊端。由于通用Mapper是根据实体类的属性自动生成对应的SQL语句,所以可以说通用Mapper插件是对MyBatis在ORM方面不足的重要补充。本套教程基于通用Mapper新版4.0.0,在详细讲解常规增删改查操作、QBC查询之外,还包括逆向工程MBG工具、二级缓存@CacheNamespace注解、TypeHandler类型处理器、枚举类型映射方式等知识点。通过具体例子详细讲解了如何为自己的特定需求对通用Mapper原有功能进行扩展。相信通过本教程的学习足以借助通用Mapper应对绝大部分应用场景下的开发要求。
kdmapper-1803-1903:只是适用于winver的kdmapper分支
05-26
kdmapper-1803-1903 只是适用于winver的kdmapper叉子:1803-1903
r6s-external-nuklear-socket:使用用于km-um通信的套接字为外部作弊者准备的简单复制粘贴基础,旨在使用drvmap或kdmapper进行手动映射
05-26
R6S外部核插座 使用用于km-um通信的套接字,可以为外部作弊者准备好简单的复制粘贴基础,并打算使用drvmap或kdmapper进行手动映射驱动程序是为获胜而准备的:1803-1903。 链接到kdmapper以获得winver:1803-1903。 桂例 该应用程序附带了几个如何做一个很酷的gui的示例:登录面板和gui 字符串加密 使用xor字符串插入字符串: 信息 当前在BE上未检测到作弊,尚未在EAC上测试作弊。 (作弊工作的视频是: : ) 接触 随便使用它。 如果需要帮助,请随时添加我的意见(magnum dong#0481)。
efi-memory:PoC EFI运行时驱动程序,用于内存rw和kdmapper分叉
03-21
Efi-memory是用于读写虚拟内存的概念验证EFI运行时驱动程序。它使用挂钩SetVariable的方法与用户模式进程进行通信。。 回购内容 司机/ EFI驱动程序本身 客户/ efi-mapper / 使用efi-memory手动映射任何Windows驱动...
KdMapper扩展实现之GMER(gmer64.sys)
时空之中的灵魂
09-12 302
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
MapDriverToMemory
zhuhuibeishadiao
08-26 1582
从blackbone中抄出来的一个小功能 第二个驱动 不能加壳 并且必须关闭GS检查。 VS-C/C++-代码生成-安全检查-禁用安全检查 第二个驱动原是一个无驱动对象的,代码中加入了老V的创建驱动对象代码,给第二个驱动了一个“虚无”的驱动对象 https://github.com/ZhuHuiBeiShaDiao/DriverMaper ps:请无视DriverEntry中蛋疼的获取路...
KdMapper扩展实现之AVG(aswArPot.sys)
时空之中的灵魂
10-16 214
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
KdMapper扩展实现之CPUID(cpuz141.sys)
时空之中的灵魂
09-08 192
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
KdMapper扩展实现之LG(LHA.sys)
时空之中的灵魂
09-19 191
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值