X64枚举和隐藏内核模块

在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。

X64内核模块枚举(注意是在R3)

#include <stdio.h>

#include <Windows.h>

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)

(

	IN ULONG	SystemInformationClass,

	OUT PVOID	SystemInformation,

	IN ULONG	Length,

	OUT PULONG	ReturnLength

);

typedef unsigned long DWORD;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY

{

    ULONG Unknow1;

    ULONG Unknow2;

    ULONG Unknow3;

	ULONG Unknow4;

    PVOID Base;

    ULONG Size;

    ULONG Flags;

    USHORT Index;

    USHORT NameLength;

    USHORT LoadCount;

    USHORT ModuleNameOffset;

    char ImageName[256];

} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION

{

    ULONG Count;//内核中以加载的模块的个数

    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation;

BOOLEAN EnumKM(char *HighlightDrvName)

{

    ULONG NeedSize, i, ModuleCount, HLed=0, BufferSize = 0x5000;

    PVOID pBuffer = NULL;

	PCHAR pDrvName = NULL;

    NTSTATUS Result;

    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;

    do

    {

        //分配内存

        pBuffer = malloc( BufferSize );

        if( pBuffer == NULL )

            return 0;

        //查询模块信息

        Result = ZwQuerySystemInformation( 11, pBuffer, BufferSize, &NeedSize );

        if( Result == 0xC0000004L )

        {

            free( pBuffer );

            BufferSize *= 2;

        }

        else if( Result<0 )

        {

            //查询失败则退出

            free( pBuffer );

            return 0;

        }

    }

    while( Result == 0xC0000004L );

    pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;

	//获得模块的总数量

    ModuleCount = pSystemModuleInformation->Count;

	//遍历所有的模块

    for( i = 0; i < ModuleCount; i++ )

	{

		if((ULONG64)(pSystemModuleInformation->Module[i].Base) > (ULONG64)0x8000000000000000)

		{

			pDrvName = pSystemModuleInformation->Module[i].ImageName+pSystemModuleInformation->Module[i].ModuleNameOffset;

			printf("0x%llx\t%s",(ULONG64)pSystemModuleInformation->Module[i].Base,pDrvName);

			if( _stricmp(pDrvName,HighlightDrvName)==0 )

			{

				printf("\t\t<--------------------");

				HLed=1;

			}

			printf("\n");

		}

	}

	if(HLed==0)

		printf("\n[%s] NOT FOUND!",HighlightDrvName);

	free(pBuffer);

	return 1;

}

int main()

{

	ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibraryW(L"ntdll.dll"),"ZwQuerySystemInformation");

	EnumKM("win32k.sys");

	getchar();

	return 0;

}


然后是R0隐藏内核模块,摘链问题。也就是要注意结构定义细节就行了。

#include <ntddk.h>

#define kprintf		DbgPrint

#define kmalloc(_s)	ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')

#define kfree(_p)	ExFreePool(_p)

NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation

(

	IN ULONG	SystemInformationClass,

	OUT PVOID	SystemInformation,

	IN ULONG	Length,

	OUT PULONG	ReturnLength

);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY

{

    ULONG Unknow1;

    ULONG Unknow2;

    ULONG Unknow3;

	ULONG Unknow4;

    PVOID Base;

    ULONG Size;

    ULONG Flags;

    USHORT Index;

    USHORT NameLength;

    USHORT LoadCount;

    USHORT ModuleNameOffset;

    char ImageName[256];

} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION

{

    ULONG Count;//内核中以加载的模块的个数

    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _KLDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY64 InLoadOrderLinks;

    ULONG64 __Undefined1;

    ULONG64 __Undefined2;

    ULONG64 __Undefined3;

    ULONG64 NonPagedDebugInfo;

    ULONG64 DllBase;

    ULONG64 EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG   Flags;

    USHORT  LoadCount;

    USHORT  __Undefined5;

    ULONG64 __Undefined6;

    ULONG   CheckSum;

    ULONG   __padding1;

    ULONG   TimeDateStamp;

    ULONG   __padding2;

}KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

PDRIVER_OBJECT pDriverObject = NULL;

ULONG64 GetSystemModuleBase(char* lpModuleName)

{

    ULONG NeedSize, i, ModuleCount, BufferSize = 0x5000;

    PVOID pBuffer = NULL;

	PCHAR pDrvName = NULL;

    NTSTATUS Result;

    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;

    do

    {

        //分配内存

        pBuffer = kmalloc( BufferSize );

        if( pBuffer == NULL )

            return 0;

        //查询模块信息

        Result = ZwQuerySystemInformation( 11, pBuffer, BufferSize, &NeedSize );

        if( Result == STATUS_INFO_LENGTH_MISMATCH )

        {

            kfree( pBuffer );

            BufferSize *= 2;

        }

        else if( !NT_SUCCESS(Result) )

        {

            //查询失败则退出

            kfree( pBuffer );

            return 0;

        }

    }

    while( Result == STATUS_INFO_LENGTH_MISMATCH );

    pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;

	//获得模块的总数量

    ModuleCount = pSystemModuleInformation->Count;

	//遍历所有的模块

    for( i = 0; i < ModuleCount; i++ )

	{

		if((ULONG64)(pSystemModuleInformation->Module[i].Base) > (ULONG64)0x8000000000000000)

		{

			pDrvName = pSystemModuleInformation->Module[i].ImageName+pSystemModuleInformation->Module[i].ModuleNameOffset;

			if( _stricmp(pDrvName,lpModuleName)==0 )

				return (ULONG64)pSystemModuleInformation->Module[i].Base;

		}

	}

	kfree(pBuffer);

	return 0;

}

VOID HideDriver(char *pDrvName)

{

    PKLDR_DATA_TABLE_ENTRY entry=(PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    PKLDR_DATA_TABLE_ENTRY firstentry;

	ULONG64 pDrvBase=0;

	KIRQL OldIrql;

    firstentry = entry;

	pDrvBase = GetSystemModuleBase(pDrvName);

    while((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)

    {

        if( entry->DllBase==pDrvBase )

        {

			//typedef struct LIST_ENTRY64 {

			//	ULONGLONG Flink;

			//	ULONGLONG Blink;

			//} LIST_ENTRY64;

			//typedef LIST_ENTRY64 *PLIST_ENTRY64;

			//le->Flink->Blink=le->Blink;

			//le->Blink->Flink=le->Flink;

			OldIrql = KeRaiseIrqlToDpcLevel();

			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Flink))->Blink=entry->InLoadOrderLinks.Blink;

			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Blink))->Flink=entry->InLoadOrderLinks.Flink;

			entry->InLoadOrderLinks.Flink=0;

			entry->InLoadOrderLinks.Blink=0;

			KeLowerIrql(OldIrql);

			DbgPrint("Remove LIST_ENTRY64 OK!");

			break;

        }

		//kprintf("%llx\t%wZ\t%wZ",entry->DllBase,entry->BaseDllName,entry->FullDllName);

        entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

    }

}

NTSTATUS UnloadDriver(IN PDRIVER_OBJECT DriverObject)

{

    return STATUS_SUCCESS;

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)

{

    DriverObject->DriverUnload = UnloadDriver;

    pDriverObject = DriverObject;

    HideDriver("win32k.sys");	//hidekm64.sys

    return STATUS_SUCCESS;

}

Win64 驱动内核编程-25.X64枚举和隐藏内核模块的更多相关文章

  1. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  2. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  3. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  4. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  7. Win64 驱动内核编程-34.对抗与枚举MiniFilter

    对抗与枚举MiniFilter MiniFilter 是目前杀毒软件用来实现"文件系统自我保护"和"文件实时监控"的方法. 由于 MiniFilter 模型简单 ...

  8. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  9. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

随机推荐

  1. Sass/Scss 基础篇

    Sass/Scss 基础篇 总结Sass学习到的内容 应用Sass/Scss前,环境配置 首先下载Ruby (http://rubyinstaller.org/downloads) 通过命令下载sas ...

  2. 解决VM 与 Device/Credential Guard 不兼容(全网有效解决思路)

    为什么要写这篇文章先说背景:前段时间因为学习Linux系统需要,自己本机用的是Windows系统,那这里就需要用到虚拟机来创建虚拟环境用来支持Linux系统 1: 于是乎,自己很激动的下载了vm虚拟机 ...

  3. XUPT-D

    /*     泰泰学长又来玩数字了,泰泰学长想让你帮他求1-n的和,但是这次的求和可不是简单的1+2+...+n. 这次的求和是这样的,如果加到一个数字是2的指数倍,那就不加,反而减掉这个数.    ...

  4. Django 使用 pycharm 创建新的app(可以理解为模块)

    创建工程的时候,注意选择Existing interpreter 选择对应的 python 解释器,电脑如果安装有多个版本的 Python 的话,注意python版本的问题, 以上即是创建的项目目录, ...

  5. [THUPC2019] 找树

    一.题目 点此看题 二.解法 这道题很离谱啊,看上去是求一个最大值,其实是把生成树权值为 \(i\) 的个数都给算出来,因为权值很小. 既然是生成树可以考虑矩阵树定理,我们考虑他是求这样一个式子: \ ...

  6. P3369 【模板】普通平衡树 题解(Splay/FHQ)

    题目链接 P3369 [模板]普通平衡树 解题思路1:Splay 注意查询的时候大于小于等于号千万不要搞错了:注意适时伸展 AC代码1 #include<stdio.h> #define ...

  7. 攻防世界 reverse secret-string-400

    secret-string-400 school-ctf-winter-2015 解压文件得到html和js文件 Task.html <html> <head> <tit ...

  8. PTA 冒泡排序

    6-4 冒泡排序 (10 分)   编程实现冒泡排序函数.void bubbleSort(int arr[], int n);.其中arr存放待排序的数据,n为数组长度(1≤n≤1000). 函数接口 ...

  9. Canal高可用架构部署

    一.前言 canal 是阿里的一款开源项目,纯 Java 开发.基于数据库增量日志解析,提供增量数据订阅&消费,目前主要支持了 MySQL(也支持 mariaDB). canal 模拟 mys ...

  10. JAVA题目:小芳的妈妈每天给她2.5元,她都会存起来,但是,每当这一天是存钱的第五题或者5的倍数的话,她都会去用掉6块钱。 问:至少经过多少天可以存到100块?

    1 /*题目:小芳的妈妈每天给她2.5元,她都会存起来, 2 但是,每当这一天是存钱的第五题或者5的倍数的话, 3 她都会去用掉6块钱. 4 问:至少经过多少天可以存到100块? 5 */ 6 /*分 ...