在笔者之前的文章《驱动开发:内核特征码搜索函数封装》中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个LoadImage映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。

我们来看一款闭源ARK工具是如何实现的:

如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是PspLoadImageNotifyRoutine我们可以在PsSetLoadImageNotifyRoutineEx中找到。

第一步使用WinDBG输入uf PsSetLoadImageNotifyRoutineEx首先定位到,能够找到PsSetLoadImageNotifyRoutineEx这里的两个位置都可以被引用,当然了这个函数可以直接通过PsSetLoadImageNotifyRoutineEx函数动态拿到此处不需要我们动态定位。

我们通过获取到PsSetLoadImageNotifyRoutineEx函数的内存首地址,然后向下匹配特征码搜索找到488d0d88e8dbff并取出PspLoadImageNotifyRoutine内存地址,该内存地址就是LoadImage映像模块的基址。

如果使用代码去定位这段空间,则你可以这样写,这样即可得到具体特征地址。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pPsSetLoadImageNotifyRoutine = NULL;

	PVOID pPspLoadImageNotifyRoutine = NULL;

	// 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

	pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pPsSetLoadImageNotifyRoutine)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 查找 PspLoadImageNotifyRoutine  函数地址

	pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 先获取偏移, 再计算地址

	lOffset = *(PLONG)pAddress;

	pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

	return pPspLoadImageNotifyRoutine;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	PVOID pPspLoadImageNotifyRoutineAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	// 获取系统版本信息, 判断系统版本

	RtlGetVersion(&osInfo);

	if (10 == osInfo.dwMajorVersion)

	{

		// 48 8d 0d 88 e8 db ff

		// 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

		/*

		nt!PsSetLoadImageNotifyRoutineEx+0x41:

		fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

		fffff801`80748a88 4533c0          xor     r8d,r8d

		fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

		fffff801`80748a8f 488bd7          mov     rdx,rdi

		fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

		fffff801`80748a97 84c0            test    al,al

		fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

		*/

		pSpecialData[0] = 0x48;

		pSpecialData[1] = 0x8D;

		pSpecialData[2] = 0x0D;

		ulSpecialDataSize = 3;

	}

	// 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

	pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

	DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

将这个驱动拖入到虚拟机中并运行,输出结果如下:

有了数组地址接下来就是要对数组进行解密,如何解密?

  • 1.首先拿到数组指针pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i此处的i也就是下标。
  • 2.得到的新地址在与pNotifyRoutineAddress & 0xfffffffffffffff8进行与运算。
  • 3.最后*(PVOID *)pNotifyRoutineAddress取出里面的参数。

增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pPsSetLoadImageNotifyRoutine = NULL;

	PVOID pPspLoadImageNotifyRoutine = NULL;

	// 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

	pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pPsSetLoadImageNotifyRoutine)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 查找 PspLoadImageNotifyRoutine  函数地址

	pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 先获取偏移, 再计算地址

	lOffset = *(PLONG)pAddress;

	pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

	return pPspLoadImageNotifyRoutine;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	PVOID pPspLoadImageNotifyRoutineAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	// 获取系统版本信息, 判断系统版本

	RtlGetVersion(&osInfo);

	if (10 == osInfo.dwMajorVersion)

	{

		// 48 8d 0d 88 e8 db ff

		// 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

		/*

		nt!PsSetLoadImageNotifyRoutineEx+0x41:

		fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

		fffff801`80748a88 4533c0          xor     r8d,r8d

		fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

		fffff801`80748a8f 488bd7          mov     rdx,rdi

		fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

		fffff801`80748a97 84c0            test    al,al

		fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

		*/

		pSpecialData[0] = 0x48;

		pSpecialData[1] = 0x8D;

		pSpecialData[2] = 0x0D;

		ulSpecialDataSize = 3;

	}

	// 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

	pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

	DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

	// 遍历回调

	ULONG i = 0;

	PVOID pNotifyRoutineAddress = NULL;

	// 获取 PspLoadImageNotifyRoutine 数组地址

	if (NULL == pPspLoadImageNotifyRoutineAddress)

	{

		return FALSE;

	}

	// 获取回调地址并解密

	for (i = 0; i < 64; i++)

	{

		pNotifyRoutineAddress = *(PVOID *)((PUCHAR)pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i);

		pNotifyRoutineAddress = (PVOID)((ULONG64)pNotifyRoutineAddress & 0xfffffffffffffff8);

		if (MmIsAddressValid(pNotifyRoutineAddress))

		{

			pNotifyRoutineAddress = *(PVOID *)pNotifyRoutineAddress;

			DbgPrint("[LyShark] 序号: %d | 回调地址: 0x%p \n", i, pNotifyRoutineAddress);

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

运行这段完整的程序代码,输出如下效果:

目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略pyark这是后期打开的。

驱动开发:内核枚举LoadImage映像回调的更多相关文章

  1. 驱动开发:内核监视LoadImage映像回调

    在笔者上一篇文章<驱动开发:内核注册并监控对象回调>介绍了如何运用ObRegisterCallbacks注册进程与线程回调,并通过该回调实现了拦截指定进行运行的效果,本章LyShark将带 ...

  2. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  3. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  4. 驱动开发:内核运用LoadImage屏蔽驱动

    在笔者上一篇文章<驱动开发:内核监视LoadImage映像回调>中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注 ...

  5. 驱动开发:内核枚举进程与线程ObCall回调

    在笔者上一篇文章<驱动开发:内核枚举Registry注册表回调>中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回 ...

  6. 驱动开发:内核监控Register注册表回调

    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...

  7. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  8. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  9. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

随机推荐

  1. 4. 利用MySQL Shell安装部署MGR集群 | 深入浅出MGR

    GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源. 目录 1. 安装准备 2. 利用MySQL Shell构建MGR集群 3. MySQL Shell接管现存的MGR集群 4 ...

  2. OpenCV4之C++入门详解

    OpenCV之C++入门 1.Visual Studio安装及环境配置与搭建 下载地址:https://my.visualstudio.com/Downloads?q=Visual,下载后按照说明安装 ...

  3. 一文带你掌握Spring Web异常处理方式

    一.前言 大家好,我是 去哪里吃鱼 ,也叫小张. 最近从单位离职了,离开了五年多来朝朝夕夕皆灯火辉煌的某网,激情也好悲凉也罢,觥筹场上屡屡物是人非,调转过事业部以为能换种情绪,岂料和下了周五的班的前同 ...

  4. Python 工匠: 异常处理的三个好习惯

    前言 这是 "Python 工匠"系列的第 6 篇文章.(点击原文链接,可查看系列其他文章) 如果你用 Python 编程,那么你就无法避开异常,因为异常在这门语言里无处不在.打个 ...

  5. 基于EasyExcel实现的分页数据下载封装

    功能概述 主要实现的功能: 1.分页查询,避免一次性查询全部数据加载到内存引起频繁FULL GC甚至OOM 2.当数据量超过单个工作簿最大行数(1048575)时,自动将数据写入新的工作簿 3.支持百 ...

  6. MySQL编译安装-出现错误提示

    环境: 系统:centos7.6 MySQL:5.6.3 cmake:2.8.6 原因: 安装ncurses-devel运行环境 [root@localhost ~]# yum -y install ...

  7. Blazor预研与实战

    背景 最近一直在搞一件事,就是熟悉Blazor,后期需要将Blazor真正运用到项目内.前期做了一些调研,包括但不限于 Blazor知识学习 组件库生态预研 与现有SPA框架做比对 与WebForm做 ...

  8. 用RocketMQ这么久,才知道消息可以这样玩

    在上一章节中,我们讲解了RocketMQ的基本介绍,作为MQ最重要的就是消息的使用了,今天我们就来带大家如何玩转MQ的消息. 消息中间件,英文Message Queue,简称MQ.它没有标准定义,一般 ...

  9. KingbaseES V8R6 集群环境wal日志清理

    案例说明: 1.对于集群中的wal日志,除了需要在备库执行recovery外,在集群主备切换(switchover或failover)时,sys_rewind都要读取wal日志,将数据库恢复到一致性状 ...

  10. DFS算法-求集合的所有子集

    目录 1. 题目来源 2. 普通方法 1. 思路 2. 代码 3. 运行结果 3. DFS算法 1. 概念 2. 解题思路 3. 代码 4. 运行结果 4. 对比 1. 题目来源 牛客网,集合的所有子 ...