在笔者之前的文章《驱动开发:内核特征码搜索函数封装》中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个LoadImage映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。

我们来看一款闭源ARK工具是如何实现的:

如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是PspLoadImageNotifyRoutine我们可以在PsSetLoadImageNotifyRoutineEx中找到。

第一步使用WinDBG输入uf PsSetLoadImageNotifyRoutineEx首先定位到,能够找到PsSetLoadImageNotifyRoutineEx这里的两个位置都可以被引用,当然了这个函数可以直接通过PsSetLoadImageNotifyRoutineEx函数动态拿到此处不需要我们动态定位。

我们通过获取到PsSetLoadImageNotifyRoutineEx函数的内存首地址,然后向下匹配特征码搜索找到488d0d88e8dbff并取出PspLoadImageNotifyRoutine内存地址,该内存地址就是LoadImage映像模块的基址。

如果使用代码去定位这段空间,则你可以这样写,这样即可得到具体特征地址。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pPsSetLoadImageNotifyRoutine = NULL;

	PVOID pPspLoadImageNotifyRoutine = NULL;

	// 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

	pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pPsSetLoadImageNotifyRoutine)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 查找 PspLoadImageNotifyRoutine  函数地址

	pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 先获取偏移, 再计算地址

	lOffset = *(PLONG)pAddress;

	pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

	return pPspLoadImageNotifyRoutine;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	PVOID pPspLoadImageNotifyRoutineAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	// 获取系统版本信息, 判断系统版本

	RtlGetVersion(&osInfo);

	if (10 == osInfo.dwMajorVersion)

	{

		// 48 8d 0d 88 e8 db ff

		// 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

		/*

		nt!PsSetLoadImageNotifyRoutineEx+0x41:

		fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

		fffff801`80748a88 4533c0          xor     r8d,r8d

		fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

		fffff801`80748a8f 488bd7          mov     rdx,rdi

		fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

		fffff801`80748a97 84c0            test    al,al

		fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

		*/

		pSpecialData[0] = 0x48;

		pSpecialData[1] = 0x8D;

		pSpecialData[2] = 0x0D;

		ulSpecialDataSize = 3;

	}

	// 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

	pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

	DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

将这个驱动拖入到虚拟机中并运行,输出结果如下:

有了数组地址接下来就是要对数组进行解密,如何解密?

  • 1.首先拿到数组指针pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i此处的i也就是下标。
  • 2.得到的新地址在与pNotifyRoutineAddress & 0xfffffffffffffff8进行与运算。
  • 3.最后*(PVOID *)pNotifyRoutineAddress取出里面的参数。

增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

	PVOID pAddress = NULL;

	PUCHAR i = NULL;

	ULONG m = 0;

	// 扫描内存

	for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

	{

		// 判断特征码

		for (m = 0; m < ulMemoryDataSize; m++)

		{

			if (*(PUCHAR)(i + m) != pMemoryData[m])

			{

				break;

			}

		}

		// 判断是否找到符合特征码的地址

		if (m >= ulMemoryDataSize)

		{

			// 找到特征码位置, 获取紧接着特征码的下一地址

			pAddress = (PVOID)(i + ulMemoryDataSize);

			break;

		}

	}

	return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

	UNICODE_STRING ustrFuncName;

	PVOID pAddress = NULL;

	LONG lOffset = 0;

	PVOID pPsSetLoadImageNotifyRoutine = NULL;

	PVOID pPspLoadImageNotifyRoutine = NULL;

	// 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

	RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

	pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

	if (NULL == pPsSetLoadImageNotifyRoutine)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 查找 PspLoadImageNotifyRoutine  函数地址

	pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

	if (NULL == pAddress)

	{

		return pPspLoadImageNotifyRoutine;

	}

	// 先获取偏移, 再计算地址

	lOffset = *(PLONG)pAddress;

	pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

	return pPspLoadImageNotifyRoutine;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	PVOID pPspLoadImageNotifyRoutineAddress = NULL;

	RTL_OSVERSIONINFOW osInfo = { 0 };

	UCHAR pSpecialData[50] = { 0 };

	ULONG ulSpecialDataSize = 0;

	// 获取系统版本信息, 判断系统版本

	RtlGetVersion(&osInfo);

	if (10 == osInfo.dwMajorVersion)

	{

		// 48 8d 0d 88 e8 db ff

		// 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

		/*

		nt!PsSetLoadImageNotifyRoutineEx+0x41:

		fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

		fffff801`80748a88 4533c0          xor     r8d,r8d

		fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

		fffff801`80748a8f 488bd7          mov     rdx,rdi

		fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

		fffff801`80748a97 84c0            test    al,al

		fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

		*/

		pSpecialData[0] = 0x48;

		pSpecialData[1] = 0x8D;

		pSpecialData[2] = 0x0D;

		ulSpecialDataSize = 3;

	}

	// 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

	pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

	DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

	// 遍历回调

	ULONG i = 0;

	PVOID pNotifyRoutineAddress = NULL;

	// 获取 PspLoadImageNotifyRoutine 数组地址

	if (NULL == pPspLoadImageNotifyRoutineAddress)

	{

		return FALSE;

	}

	// 获取回调地址并解密

	for (i = 0; i < 64; i++)

	{

		pNotifyRoutineAddress = *(PVOID *)((PUCHAR)pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i);

		pNotifyRoutineAddress = (PVOID)((ULONG64)pNotifyRoutineAddress & 0xfffffffffffffff8);

		if (MmIsAddressValid(pNotifyRoutineAddress))

		{

			pNotifyRoutineAddress = *(PVOID *)pNotifyRoutineAddress;

			DbgPrint("[LyShark] 序号: %d | 回调地址: 0x%p \n", i, pNotifyRoutineAddress);

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

运行这段完整的程序代码,输出如下效果:

目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略pyark这是后期打开的。

驱动开发:内核枚举LoadImage映像回调的更多相关文章

  1. 驱动开发:内核监视LoadImage映像回调

    在笔者上一篇文章<驱动开发:内核注册并监控对象回调>介绍了如何运用ObRegisterCallbacks注册进程与线程回调,并通过该回调实现了拦截指定进行运行的效果,本章LyShark将带 ...

  2. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  3. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  4. 驱动开发:内核运用LoadImage屏蔽驱动

    在笔者上一篇文章<驱动开发:内核监视LoadImage映像回调>中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注 ...

  5. 驱动开发:内核枚举进程与线程ObCall回调

    在笔者上一篇文章<驱动开发:内核枚举Registry注册表回调>中我们通过特征码定位实现了对注册表回调的枚举,本篇文章LyShark将教大家如何枚举系统中的ProcessObCall进程回 ...

  6. 驱动开发:内核监控Register注册表回调

    在笔者前一篇文章<驱动开发:内核枚举Registry注册表回调>中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监 ...

  7. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

  8. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  9. 驱动开发:内核枚举IoTimer定时器

    今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...

随机推荐

  1. [护网杯 2018]easy_tornado-1|SSTI注入

    1.打开之后给出了三个连接,分别查看下三个连接内得信息,结果如下: 2.url中参数包含一个文件名与一串应该是md5得加密的字符串,文件名已经获得了,就需要获取加密得字符串,但是加密字符串时需要使用到 ...

  2. CSS 笔记目录

    布局 CSS 布局(一):Flex 布局 选择器 CSS 选择器(一):属性选择器 CSS 选择器(二):子代选择器(>)

  3. 设置 Git 用户名和邮箱

    安装完 Git 之后,要做的第一件事就是设置你的用户名和邮件地址.因为每一个提交都会使用这些信息,如果你不完善它们,在 GitHub 远程仓库里很有可能没有你的贡献统计. 以下操作需要你打开 Git ...

  4. 一个dcache的性能问题分析

    如何识别并解决复杂的dcache问题 背景:这个是在centos7.6的环境上复现的,但该问题其实在很多内核版本上都有, 如何做好对linux一些缓存的监控和控制,一直是云计算方向的热点,但这些热点 ...

  5. LOJ6029「雅礼集训 2017 Day1」市场 (线段树)

    题面 从前有一个学校,在 O n e I n D a r k \rm OneInDark OneInDark 到任之前风气都是非常良好的,自从他来了之后,发布了一系列奇怪的要求,挟制了整个学校,导致风 ...

  6. 「JOI 2015 Final」分蛋糕 2

    「JOI 2015 Final」分蛋糕 2 题解 这道题让我想起了新年趣事之红包这道DP题,这道题和那道题推出来之后的做法是一样的. 我们可以定义dp[i][len][1] 表示从第i块逆时针数len ...

  7. Spring5事务管理

    事务管理是什么? 相当于过滤器,如果这一进程中上一个操作正常执行完后提交数据已经发生改变,但是下一个操作中出现了异常,这样就会影响数据的查看. 典型例子:银行转账,甲方已经转钱给乙方(甲方已扣钱),乙 ...

  8. 痞子衡嵌入式:在i.MXRT启动头FDCB里使能串行NOR Flash的QPI/OPI模式

    大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家介绍的是在FDCB里使能串行NOR Flash的QPI/OPI模式. 我们知道 Flash 读时序里有五大子序列 CMD + ADDR + MO ...

  9. 什么?MySQL 8.0 会同时修改两个ib_logfilesN 文件?

    GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源. GreatSQL是MySQL的国产分支版本,使用上与MySQL一致. 作者介绍:孙黎,GreatDB 认证DBA 问题现象 ...

  10. 如何自动清理 KingbaseES SYS_LOG

    KingbaseES 初始化完成后,默认不会对 sys_log进行清理.如果需要对sys_log进行自动清理,需要设置相关参数. 与日志自动清理有关的参数(默认值)如下: log_filename | ...