在之前的文章Windows 回调监控 <一> 总结了关于CreateProcessNotify,CreateProcessNotifyEx和LoadImageNotify一些用法,之后产生了一个思路,既然在进程创建的时候加载.exe文件会执行我们的回调函数,那么如果在我们回调函数之中对内存中的.exe文件的导入表增加一个项,这样进程会不会加载我们事先准备好的.dll文件,如果成功加载我们的dll话,就注入成功了。

#pragma once

#include <ntifs.h>

#include <ntimage.h>

#include <WINDEF.H>

VOID WPOFF();

VOID WPON();

VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName,HANDLE  ProcessId,PIMAGE_INFO  ImageInfor);

extern CHAR*  PsGetProcessImageFileName(PEPROCESS EProcess);

VOID UnicodeToChar(PUNICODE_STRING uniSource, CHAR *szDest);

#include "LoadImage.h"

PIMAGE_IMPORT_DESCRIPTOR g_OldImportDesc;

KIRQL Irql;

PEPROCESS g_TargetProcess;

HANDLE    g_TargetProcessId;

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegisterPath)

{

    DbgPrint("驱动加载\r\n");

    DriverObject->DriverUnload = UnloadDriver;

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);

    return STATUS_SUCCESS;

}

VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);

    DbgPrint("驱动卸载\r\n");

}

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName,HANDLE  ProcessId,PIMAGE_INFO  ImageInfor)

{

    NTSTATUS Status;

    PVOID DriverEntryAddress = NULL;

    char szFullImageName[]={};

    PEPROCESS TatgetProcess = NULL;

    KAPC_STATE apcState;

    BOOLEAN       bAttached =FALSE;

    HANDLE    hProcess;

    Status  = PsLookupProcessByProcessId(ProcessId,&TatgetProcess);

    if (!NT_SUCCESS(Status))

    {

        return ;

    }

    if (strstr(PsGetProcessImageFileName(TatgetProcess),"cc.exe")) //当前进程是cc.exe

    {

        UnicodeToChar(FullImageName,szFullImageName);

        if (strstr(szFullImageName,"cc.exe"))  //加载的是cc.exe

        {

            g_TargetProcessId = ProcessId;

            Status = ObOpenObjectByPointer(TatgetProcess,

                OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,

                NULL,

                GENERIC_ALL,

                *PsProcessType,

                KernelMode,

                &hProcess

                );

            if (!NT_SUCCESS(Status))

            {

                ObDereferenceObject(TatgetProcess);

                return;

            }

            g_TargetProcess = TatgetProcess;

            __try

            {

                //KeStackAttachProcess(TatgetProcess,&apcState);

                if (MmIsAddressValid(ImageInfor->ImageBase))

                {

                    PIMAGE_DOS_HEADER pDos;

                    PIMAGE_NT_HEADERS pHeader = NULL;

                    PIMAGE_IMPORT_DESCRIPTOR  pImportDesc;

                    //ZwUnmapViewOfSection(hProcess,ImageInfor->ImageBase);

                    ULONG nImportDllCount;

                    PVOID ulImageBase = ImageInfor->ImageBase;

                    ULONG nNewImportSize;

                    ULONG nNewDllNameSize = 0x20;

                    PIMAGE_IMPORT_DESCRIPTOR lpNewImportDesc = NULL;

                    PVOID lpDllName = NULL;

                    IMAGE_IMPORT_DESCRIPTOR Add_ImportDesc;

                    PIMAGE_THUNK_DATA        lpNewThunkData = NULL;

                    ULONG nNewThunkDataSize = 0x20;

                    PIMAGE_IMPORT_BY_NAME lpImportApi = NULL;

                    ULONG nNewImportApiSize  = 0x20;

                    pDos =(PIMAGE_DOS_HEADER) ulImageBase;

                    pHeader = (PIMAGE_NT_HEADERS)((ULONG)ulImageBase+(ULONG)pDos->e_lfanew);

                    pImportDesc  = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress \

                        + (ULONG)ulImageBase);

                    //导入表项个数

                    nImportDllCount = pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size / sizeof(IMAGE_IMPORT_DESCRIPTOR);

                    g_OldImportDesc = pImportDesc;//原始的导入表

                    nNewImportSize = sizeof(IMAGE_IMPORT_DESCRIPTOR)*(nImportDllCount+);//加上自己的

                    Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &lpNewImportDesc, , &nNewImportSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpNewImportDesc,nNewImportSize);

                    Status = ZwAllocateVirtualMemory(hProcess, &lpDllName, , &nNewDllNameSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpDllName,nNewDllNameSize);

                    //ThunkData

                    Status = ZwAllocateVirtualMemory(hProcess, &lpNewThunkData, , &nNewThunkDataSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpDllName,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpNewThunkData,nNewThunkDataSize);

                    //IMAGE_IMPORT_BY_NAME

                    Status = ZwAllocateVirtualMemory(hProcess, &lpImportApi, , &nNewImportApiSize,

                        MEM_COMMIT|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpDllName,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpNewThunkData,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpImportApi,nNewImportApiSize);

                    //原始的导入表,留出一个表项

                    RtlCopyMemory(lpNewImportDesc+,pImportDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR)*nImportDllCount);

                    lpImportApi->Hint = ;

                    RtlCopyMemory(lpImportApi->Name,"DllMain",0x20);

                    lpNewThunkData->u1.AddressOfData = (ULONG)lpImportApi-(ULONG)ulImageBase;

                    Add_ImportDesc.OriginalFirstThunk = (ULONG)lpNewThunkData-(ULONG)ulImageBase;

                    Add_ImportDesc.TimeDateStamp = ;

                    Add_ImportDesc.ForwarderChain = ;

                    RtlCopyMemory(lpDllName,"test.dll",0x20);

                    Add_ImportDesc.Name = (ULONG)lpDllName-(ULONG)ulImageBase;

                    Add_ImportDesc.FirstThunk = Add_ImportDesc.OriginalFirstThunk;

                    RtlCopyMemory(lpNewImportDesc,&Add_ImportDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR));

                    WPOFF(); //修改Descriptor

                    pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size += sizeof(IMAGE_IMPORT_DESCRIPTOR);

                    pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress = (ULONG_PTR)lpNewImportDesc - (ULONG_PTR)ulImageBase;

                    WPON();

                }

                //KeUnstackDetachProcess(&apcState);

            }__except(EXCEPTION_EXECUTE_HANDLER){

            }

            ObDereferenceObject(TatgetProcess);

        }

    }

    ObDereferenceObject(TatgetProcess);

}

VOID WPOFF()

{

    ULONG_PTR cr0 = ;

    Irql = KeRaiseIrqlToDpcLevel();

    cr0 =__readcr0();

    cr0 &= 0xfffffffffffeffff;

    __writecr0(cr0);

}

VOID WPON()

{

    ULONG_PTR cr0=__readcr0();

    cr0 |= 0x10000;

    __writecr0(cr0);

    KeLowerIrql(Irql);

}

VOID UnicodeToChar(PUNICODE_STRING uniSource, CHAR *szDest)

{

    ANSI_STRING ansiTemp;

    RtlUnicodeStringToAnsiString(&ansiTemp,uniSource,TRUE);   

    strcpy(szDest,ansiTemp.Buffer);

    RtlFreeAnsiString(&ansiTemp);

}

Windows 回调监控 <二>的更多相关文章

  1. Windows 回调监控 <一>

    在x86的体系结构中,我们常用hook关键的系统调用来达到对系统的监控,但是对于x64的结构,因为有PatchGuard的存在,对于一些系统关键点进行hook是很不稳定的,在很大几率上会导致蓝屏的发生 ...

  2. paip.windows io监控总结

    paip.windows io监控总结 io的主要参数是个.disk queue length 作者Attilax  艾龙,  EMAIL:1466519819@qq.com 来源:attilax的专 ...

  3. C# Windows IPSEC监控(仅此一家,别无分店)

    Windows IPSEC监控,使用C#编写,输出为一行字符串,可以按照既有IPSEC规则生成模板 using System; using System.Diagnostics; using Syst ...

  4. windows 进程监控 Procmon.exe

    windows 进程监控 Procmon.exe window下一个程序打开太慢,可以用此程序监控.在哪一步慢了,读取文件还是注册表. ProcessMonitor3.2 Process Monito ...

  5. Windows性能计数器监控实践

    Windows性能计数器(Performance Counter)是Windows提供的一种系统功能,它能实时采集.分析系统内的应用程序.服务.驱动程序等的性能数据,以此来分析系统的瓶颈.监控组件的表 ...

  6. python对 windows系统监控插件

    在python编程的windows系统监控中,需要监控监控硬件信息需要两个模块:WMI 和 pypiwin32 .

  7. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  8. Win64 驱动内核编程-14.回调监控文件

    回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 P ...

  9. Win64 驱动内核编程-12.回调监控进线程创建和退出

    回调监控进线程创建和退出 两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分 ...

随机推荐

  1. ios中如何计算(页数,行数,等等的算法)

    页数 = (总个数 + 每页最大显示个数 - 1) / 每页显示最大的个数

  2. 在linux上使用yum安装JDK

    1.查找java相关得列表 [qyf@localhost ~]$ yum -y list java* 执行结果 [qyf@localhost ~]$ yum -y list java* Loaded ...

  3. SQL Server数据库学习笔记-外键

    关于主键的话大家很好理解,主键的主要作用就是用来标识一条数据是唯一的,也就是保证数据的实体完整性.防止数据重复.但是外键的话就有许多的疑问了,那外键是咋回事儿呢? 1. 外键的定义: 外键(FK)是用 ...

  4. valueOf跟toString区别

    1.用法如下:toString()方法:返回对象的字符串表示. 对象 操作 Array 将 Array 的元素转换为字符串.结果字符串由逗号分隔,且连接起来. Boolean 如果 Boolean 值 ...

  5. 解释型语言和编译型语言如何交互?以lua和c为例

    转自http://my.oschina.net/mayqlzu/blog/113528 问题: 最近lua很火,因为<愤怒的小鸟>使用了lua,ios上有lua解释器?它是怎么嵌入大ios ...

  6. Careercup - Microsoft面试题 - 6337018766295040

    2014-05-10 06:38 题目链接 原题: What do you think is the next big thing in technology? For example, search ...

  7. 对git认识

    Github则是一个基于Git的日益流行的开源项目托管库.它的使用流程不需要联机,可以先将对代码的修改,评论,保存在本机.等上网之后,再实时推送过去.同时它创建分支与合并分支更容易,推送速度也更快,配 ...

  8. vmware workstation 10.0

    2013.9.3 vmware workstation 10.0 build 1295980新增功能– 可以将windows 8.1物理pc转变为虚拟机:unity模式增强,与windows 8.1 ...

  9. ptypes中string类的空间分配

    问题描述:            在学习ptypes中string类的空间分配时,经常使分配的空间超出实际所需的空间 使用的分配函数是:_alloc函数 注:        在_alloc函数中调用了 ...

  10. bzoj 3232 01分数规划+最大权封闭子图判定

    我们的目标是使v/c最小化,所以构造函数g(x)=v-x*c,那么 二分一个X,判断当时的v-x*c的值是多少,然后根据g(x)函数的 单调递减性来二分,判断,直到g(x)=0的时候当前的X就是答案. ...