今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化部分就可以找到IopTimerQueueHead地址,该变量内存储的就是定时器的链表头部。枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。

枚举Io定时器过程是这样的:

  • 1.找到IoInitializeTimer函数,该函数可以通过MmGetSystemRoutineAddress得到。
  • 2.找到地址以后,我们向下增加0xFF偏移量,并搜索特征定位到IopTimerQueueHead链表头。
  • 3.将链表头转换为IO_TIMER结构体,并循环链表头输出。

这里解释一下为什么要找IoInitializeTimer这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。

NTSTATUS

  IoInitializeTimer(

    IN PDEVICE_OBJECT  DeviceObject,     // 设备对象指针

    IN PIO_TIMER_ROUTINE  TimerRoutine,  // 定时器例程

    IN PVOID  Context                    // 传给定时器例程的函数

    );

接着我们需要得到IO定时器的结构定义,在DEVICE_OBJECT设备对象指针中存在一个Timer属性。

lyshark.com: kd> dt _DEVICE_OBJECT

ntdll!_DEVICE_OBJECT

   +0x000 Type             : Int2B

   +0x002 Size             : Uint2B

   +0x004 ReferenceCount   : Int4B

   +0x008 DriverObject     : Ptr64 _DRIVER_OBJECT

   +0x010 NextDevice       : Ptr64 _DEVICE_OBJECT

   +0x018 AttachedDevice   : Ptr64 _DEVICE_OBJECT

   +0x020 CurrentIrp       : Ptr64 _IRP

   +0x028 Timer            : Ptr64 _IO_TIMER

   +0x030 Flags            : Uint4B

   +0x034 Characteristics  : Uint4B

   +0x038 Vpb              : Ptr64 _VPB

   +0x040 DeviceExtension  : Ptr64 Void

   +0x048 DeviceType       : Uint4B

   +0x04c StackSize        : Char

   +0x050 Queue            : <anonymous-tag>

   +0x098 AlignmentRequirement : Uint4B

   +0x0a0 DeviceQueue      : _KDEVICE_QUEUE

   +0x0c8 Dpc              : _KDPC

   +0x108 ActiveThreadCount : Uint4B

   +0x110 SecurityDescriptor : Ptr64 Void

   +0x118 DeviceLock       : _KEVENT

   +0x130 SectorSize       : Uint2B

   +0x132 Spare1           : Uint2B

   +0x138 DeviceObjectExtension : Ptr64 _DEVOBJ_EXTENSION

   +0x140 Reserved         : Ptr64 Void

这里的这个+0x028 Timer定时器是一个结构体_IO_TIMER其就是IO定时器的所需结构体。

lyshark.com: kd> dt _IO_TIMER

ntdll!_IO_TIMER

   +0x000 Type             : Int2B

   +0x002 TimerFlag        : Int2B

   +0x008 TimerList        : _LIST_ENTRY

   +0x018 TimerRoutine     : Ptr64     void

   +0x020 Context          : Ptr64 Void

   +0x028 DeviceObject     : Ptr64 _DEVICE_OBJECT

如上方的基础知识有了也就够了,接着就是实际开发部分,首先我们需要编写一个GetIoInitializeTimerAddress()函数,让该函数可以定位到IoInitializeTimer所在内核中的基地址上面,具体实现调用代码如下所示。

#include <ntifs.h>

// 得到IoInitializeTimer基址

// By: LyShark 内核开发系列教程

PVOID GetIoInitializeTimerAddress()

{

	PVOID VariableAddress = 0;

	UNICODE_STRING uioiTime = { 0 };

	RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");

	VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);

	if (VariableAddress != 0)

	{

		return VariableAddress;

	}

	return 0;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark.com \n"));

	// 得到基址

	PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();

	DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

运行这个驱动程序,然后对比下是否一致:

接着我们在反汇编代码中寻找IoTimerQueueHead,此处在LyShark系统内这个偏移位置是nt!IoInitializeTimer+0x5d 具体输出位置如下。

lyshark.com: kd> uf IoInitializeTimer

nt!IoInitializeTimer+0x5d:

fffff805`74b85bed 488d5008        lea     rdx,[rax+8]

fffff805`74b85bf1 48897018        mov     qword ptr [rax+18h],rsi

fffff805`74b85bf5 4c8d054475e0ff  lea     r8,[nt!IopTimerLock (fffff805`7498d140)]

fffff805`74b85bfc 48897820        mov     qword ptr [rax+20h],rdi

fffff805`74b85c00 488d0dd9ddcdff  lea     rcx,[nt!IopTimerQueueHead (fffff805`748639e0)]

fffff805`74b85c07 e8141e98ff      call    nt!ExInterlockedInsertTailList (fffff805`74507a20)

fffff805`74b85c0c 33c0            xor     eax,eax

在WinDBG中标注出颜色lea rcx,[nt!IopTimerQueueHead (fffff805748639e0)]`更容易看到。

接着就是通过代码实现对此处的定位,定位我们就采用特征码搜索的方式,如下代码是特征搜索部分。

  • StartSearchAddress 代表开始位置
  • EndSearchAddress 代表结束位置,粗略计算0xff就可以定位到了。
#include <ntifs.h>

// 得到IoInitializeTimer基址

// By: LyShark 内核开发系列教程

PVOID GetIoInitializeTimerAddress()

{

	PVOID VariableAddress = 0;

	UNICODE_STRING uioiTime = { 0 };

	RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");

	VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);

	if (VariableAddress != 0)

	{

		return VariableAddress;

	}

	return 0;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark.com \n"));

	// 得到基址

	PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();

	DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);

	INT32 iOffset = 0;

	PLIST_ENTRY IoTimerQueueHead = NULL;

	PUCHAR StartSearchAddress = IoInitializeTimer;

	PUCHAR EndSearchAddress = IoInitializeTimer + 0xFF;

	UCHAR v1 = 0, v2 = 0, v3 = 0;

	for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++)

	{

		if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))

		{

			v1 = *i;

			v2 = *(i + 1);

			v3 = *(i + 2);

			// 三个特征码

			if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

			{

				memcpy(&iOffset, i + 3, 4);

				IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + 7);

				DbgPrint("IoTimerQueueHead = %p \n", IoTimerQueueHead);

				break;

			}

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

搜索三个特征码v1 == 0x48 && v2 == 0x8d && v3 == 0x0d从而得到内存位置,运行驱动对比下。

  • 运行代码会取出lea指令后面的操作数,而不是取出lea指令的内存地址。

最后一步就是枚举部分,我们需要前面提到的IO_TIMER结构体定义。

  • PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList) 得到结构体,循环输出即可。
// By: LyShark 内核开发系列教程

// https://www.cnblogs.com/LyShark/articles/16784393.html

#include <ntddk.h>

#include <ntstrsafe.h>

typedef struct _IO_TIMER

{

  INT16        Type;

  INT16        TimerFlag;

  LONG32       Unknown;

  LIST_ENTRY   TimerList;

  PVOID        TimerRoutine;

  PVOID        Context;

  PVOID        DeviceObject;

}IO_TIMER, *PIO_TIMER;

// 得到IoInitializeTimer基址

PVOID GetIoInitializeTimerAddress()

{

  PVOID VariableAddress = 0;

  UNICODE_STRING uioiTime = { 0 };

  RtlInitUnicodeString(&uioiTime, L"IoInitializeTimer");

  VariableAddress = (PVOID)MmGetSystemRoutineAddress(&uioiTime);

  if (VariableAddress != 0)

  {

    return VariableAddress;

  }

  return 0;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

  DbgPrint("卸载完成... \n");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

  DbgPrint(("hello lyshark.com \n"));

  // 得到基址

  PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();

  DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);

  // 搜索IoTimerQueueHead地址

  /*

    nt!IoInitializeTimer+0x5d:

    fffff806`349963cd 488d5008        lea     rdx,[rax+8]

    fffff806`349963d1 48897018        mov     qword ptr [rax+18h],rsi

    fffff806`349963d5 4c8d05648de0ff  lea     r8,[nt!IopTimerLock (fffff806`3479f140)]

    fffff806`349963dc 48897820        mov     qword ptr [rax+20h],rdi

    fffff806`349963e0 488d0d99f6cdff  lea     rcx,[nt!IopTimerQueueHead (fffff806`34675a80)]

    fffff806`349963e7 e8c43598ff      call    nt!ExInterlockedInsertTailList (fffff806`343199b0)

    fffff806`349963ec 33c0            xor     eax,eax

  */

  INT32 iOffset = 0;

  PLIST_ENTRY IoTimerQueueHead = NULL;

  PUCHAR StartSearchAddress = IoInitializeTimer;

  PUCHAR EndSearchAddress = IoInitializeTimer + 0xFF;

  UCHAR v1 = 0, v2 = 0, v3 = 0;

  for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++)

  {

    if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))

    {

      v1 = *i;

      v2 = *(i + 1);

      v3 = *(i + 2);

      // fffff806`349963e0 48 8d 0d 99 f6 cd ff  lea rcx,[nt!IopTimerQueueHead (fffff806`34675a80)]

      if (v1 == 0x48 && v2 == 0x8d && v3 == 0x0d)

      {

        memcpy(&iOffset, i + 3, 4);

        IoTimerQueueHead = (PLIST_ENTRY)(iOffset + (ULONG64)i + 7);

        DbgPrint("IoTimerQueueHead = %p \n", IoTimerQueueHead);

        break;

      }

    }

  }

  // 枚举列表

  KIRQL OldIrql;

  // 获得特权级

  OldIrql = KeRaiseIrqlToDpcLevel();

  if (IoTimerQueueHead && MmIsAddressValid((PVOID)IoTimerQueueHead))

  {

    PLIST_ENTRY NextEntry = IoTimerQueueHead->Flink;

    while (MmIsAddressValid(NextEntry) && NextEntry != (PLIST_ENTRY)IoTimerQueueHead)

    {

      PIO_TIMER Timer = CONTAINING_RECORD(NextEntry, IO_TIMER, TimerList);

      if (Timer && MmIsAddressValid(Timer))

      {

        DbgPrint("IO对象地址: %p \n", Timer);

      }

      NextEntry = NextEntry->Flink;

    }

  }

  // 恢复特权级

  KeLowerIrql(OldIrql);

  Driver->DriverUnload = UnDriver;

  return STATUS_SUCCESS;

}

运行这段源代码,并可得到以下输出,由于没有IO定时器所以输出结果是空的:

至此IO定时器的枚举就介绍完了,在教程中你已经学会了使用特征码定位这门技术,相信你完全可以输出内核中想要得到的任何结构体。

驱动开发:内核枚举IoTimer定时器的更多相关文章

  1. 驱动开发:内核枚举DpcTimer定时器

    在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...

  2. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  3. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  4. 驱动开发:内核枚举PspCidTable句柄表

    在上一篇文章<驱动开发:内核枚举DpcTimer定时器>中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows ...

  5. 《Windows内核安全与驱动开发》4.3 时间与定时器

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发>4.3  时间与定时器 一.获取自系统启动以来的毫秒数 /* 函数作用:求自操 ...

  6. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  7. 驱动开发:内核枚举LoadImage映像回调

    在笔者之前的文章<驱动开发:内核特征码搜索函数封装>中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个 ...

  8. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  9. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

随机推荐

  1. 通过重新构建Kubernetes来实现更具弹性的容器编排系统

    通过重新构建Kubernetes来实现更具弹性的容器编排系统 译自:rearchitecting-kubernetes-for-the-edge 摘要 近年来,kubernetes已经发展为容器编排的 ...

  2. bash脚本里的-h是什么意思?

    问题描述 我在看脚本的时候,看到了下面代码 其中的-h "$PRG"我一时没明白是在判断什么东西.然后翻阅了一下菜鸟教程和其他教程,都没有说. 问题解决 -h其实是在判断这个文件是 ...

  3. 理想汽车 x JuiceFS:从 Hadoop 到云原生的演进与思考

    理想汽车在 Hadoop 时代的技术架构 首先简单回顾下大数据技术的发展,基于我个人的理解,将大数据的发展分了4个时期: 第一个时期: 2006 年到 2008 年.2008 年左右,Hadoop 成 ...

  4. 聊天机器人框架Rasa资源整理

      Rasa是一个主流的构建对话机器人的开源框架,它的优点是几乎覆盖了对话系统的所有功能,并且每个模块都有很好的可扩展性.参考文献收集了一些Rasa相关的开源项目和优质文章. 一.Rasa介绍 1.R ...

  5. CF1528C Trees of Tranquillity(图论,数据结构)

    题面 有两棵 n n n 个点的有根树 T 1 T_1 T1​, T 2 T_2 T2​,根是 1 1 1 ,共用编号 1 1 1~ n n n.求最大的点集 S S S 满足每个点在 T 1 T_1 ...

  6. Office宏病毒学习第一弹--恶意的Excel 4.0宏

    Office宏病毒学习第一弹--恶意的Excel 4.0宏 前言 参考:https://outflank.nl/blog/2018/10/06/old-school-evil-excel-4-0-ma ...

  7. BI如何实现用户身份集成自定义安全程序开发

    统一身份认证是整个 IT 架构的最基本的组成部分,而账号则是实现统一身份认证的基础.做好账号的规划和设计直接决定着企业整个信息系统建设的便利与难易程度,决定着系统能否足够敏捷和快速赋能,也决定了在数字 ...

  8. Linux系统启动报错No bootable device解决步骤

    CSDN文章地址点击此处 磁盘的 MBR 表损坏 实验环境准备工作 查看分区类型及磁盘位置信息点击此篇 首先备份虚拟机A上的 MBR 表 dd if=/dev/vda of=MBR bs=512 co ...

  9. KingbaseES DBLink 扩展介绍

    DBLink 扩展插件功能与 Kingbase_FDW 类似,用于远程访问KingbaseES 数据库.相比于Kingbase_FDW,DBLink 功能更强大,可以执行DML,还可以通过 begin ...

  10. GIN 索引

    GIN(Generalized Inverted Index, 通用倒排索引) 是一个存储对(key, posting list)集合的索引结构,其中key是一个键值,而posting list 是一 ...