在windows平台做逆向、外挂等,经常需要调用很多未导出的内核函数,怎么方便、快速查找了?可以先用IDA等工具查看硬编码,再根据硬编码定位到需要调用的函数。整个思路大致如下:

1、先查找目标模块

   遍历模块的方式有多种。既然通过驱动在内核编程,这里选择遍历driverObject的DriverSection字段来遍历内核所有模块,核心代码如下:

 /*

   可以用来动态查找内核模块的基址,后续用于:

   1、PTE\PDE等base计算

   2、其他函数、变量精确位置的计算(IDA静态分析只能查到偏移)

 */

 PVOID FindMould(PDRIVER_OBJECT pDriverObject, PWCHAR moudName, PULONG pSize)

 {

     // 从PDRIVER_OBJECT获取DriverSection,便可获得驱动模块链表

     PLDR_DATA_TABLE_ENTRY pDriverData = (PLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

     // 开始遍历双向链表

     PLDR_DATA_TABLE_ENTRY pFirstDriverData = pDriverData;

     do

     {

         if (( < pDriverData->BaseDllName.Length) ||

             ( < pDriverData->FullDllName.Length))

         {

             // 显示

             DbgPrint("BaseDllName=%ws,\tDllBase=0x%p,\tSizeOfImage=0x%X,\tFullDllName=%ws\n",

                 pDriverData->BaseDllName.Buffer, pDriverData->DllBase,

                 pDriverData->SizeOfImage, pDriverData->FullDllName.Buffer);

             //BaseDllName.Buffer是PWCH,也就是宽字符串,所以自己定义的moudName也要是PWCHAR类型

             if (!_stricmp(moudName, (PCHAR)pDriverData->BaseDllName.Buffer))

             {

                 DbgPrint("find target : BaseDllName=%ws,\tDllBase=0x%p,\tSizeOfImage=0x%X,\tFullDllName=%ws\n",

                     pDriverData->BaseDllName.Buffer, pDriverData->DllBase,

                     pDriverData->SizeOfImage, pDriverData->FullDllName.Buffer);

                 *pSize = pDriverData->SizeOfImage;

                 return pDriverData->DllBase;

             }

         }

         // 下一个

         pDriverData = (PLDR_DATA_TABLE_ENTRY)pDriverData->InLoadOrderLinks.Flink;

     } while (pFirstDriverData != pDriverData);

     return NULL;

 }

  传入driverObject、模块名称,得到模块基址(返回值)和模块长度(参数);

2、得到模块基址后,再进一步根据特征码查找目标函数:

 PVOID FindFun(PVOID pSearchBeginAddr, ULONG ulSearchLength, PUCHAR pSpecialCode, ULONG ulSpecialCodeLength)

 {

     PVOID pDestAddr = NULL;

     PUCHAR pBeginAddr = (PUCHAR)pSearchBeginAddr;

     PUCHAR pEndAddr = pBeginAddr + ulSearchLength;

     PUCHAR i = NULL;

     ULONG j = ;

     for (i = pBeginAddr; i <= pEndAddr; i++)

     {

         // 遍历特征码

         for (j = ; j < ulSpecialCodeLength; j++)

         {

             // 判断地址是否有效  ntoskrnl.exe有时地址无效,蓝屏报错:PAGE FAULED IN NONPAGED AREA

             if (FALSE == MmIsAddressValid((PVOID)(i + j)))

             {

                 break;

             }

             // 匹配特征码

             if (*(PUCHAR)(i + j) != pSpecialCode[j])

             {

                 break;

             }

         }

         // 匹配成功

         if (j >= ulSpecialCodeLength)

         {

             pDestAddr = (PVOID)i;

             break;

         }

     }

     return pDestAddr;

 }

  这里特征码搜索可以继续改进,比如用正则做模糊匹配~~~

3、用法举例:强行杀死线程时,需要调用 PspTerminateThreadByPointer 函数,但此函数并未导出,可以通过IDA查看汇编代码,也可以在windbg通过U PspTerminateThreadByPointer,如下:

kd> u nt!PspTerminateThreadByPointer

nt!PspTerminateThreadByPointer:

fffff803`d01c6210 48895c2408      mov     qword ptr [rsp+8],rbx

fffff803`d01c6215 48896c2410      mov     qword ptr [rsp+10h],rbp

fffff803`d01c621a 4889742418      mov     qword ptr [rsp+18h],rsi

fffff803`d01c621f 57              push    rdi

fffff803`d01c6220 4883ec30        sub     rsp,30h

fffff803`d01c6224 8b81d0060000    mov     eax,dword ptr [rcx+6D0h]

fffff803`d01c622a 418ae8          mov     bpl,r8b

fffff803`d01c622d 488bb920020000  mov     rdi,qword ptr [rcx+220h]

由于大多数函数刚开始都是初始化堆栈代码,这里特征码重合度较高,为了避免找到其他函数,建议从稍微靠后几行代码处提取特征码,比如这里从第7行开始提取 418ae8488bb920020000 10个字节,找到后再减去26字节就回到了PspTerminateThreadByPointer入口;

 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)

 {

     DbgPrint("Enter DriverEntry\n");

     NTSTATUS status = STATUS_SUCCESS;

     pDriverObject->DriverUnload = DriverUnload;

     for (ULONG i = ; i < IRP_MJ_MAXIMUM_FUNCTION; i++)

     {

         pDriverObject->MajorFunction[i] = DriverDefaultHandle;

     }

     ULONG mouldSize = ;

     PWCHAR mouldName = L"ntkrnlmp.exe";

     PVOID mouldBase = FindMould(pDriverObject, mouldName, &mouldSize);

     DbgPrint("mould name = %ws ;   mould base = 0x%p;   mould size = 0x%X\n", mouldName, mouldBase, mouldSize);

     UCHAR pSpecialCode[] = {  };

     /*418ae8488bb920020000*/

     pSpecialCode[] = 0x41;

     pSpecialCode[] = 0x8a;

     pSpecialCode[] = 0xe8;

     pSpecialCode[] = 0x48;

     pSpecialCode[] = 0x8b;

     pSpecialCode[] = 0xb9;

     pSpecialCode[] = 0x20;

     pSpecialCode[] = 0x02;

     pSpecialCode[] = 0x00;

     pSpecialCode[] = 0x00;

     PVOID FunAddress = FindFun(mouldBase, mouldSize, pSpecialCode, );

     DbgPrint("Finally function address = 0x%p;\n", FunAddress-);

     return status;

 }

windows:根据特征码查找内核任意函数的更多相关文章

  1. [原创]使用GCC创建 Windows NT 下的内核DLL

    原文链接:使用GCC创建 Windows NT 下的内核DLL 在温习<<Windows 2000 Driving>>分层驱动程序一章的时候,看到了关于紧耦合驱动连接方式,这种 ...

  2. 【Windows下DLL查找顺序 】

    一.写作初衷 在Windows下单个DLL可能存在多个不同的版本,若不特别指定DLL的绝对路径或使用其他手段指定,在应用程序加载DLL时可能会查找到错误的版本,进而引出各种莫名其妙的问题.本文主要考虑 ...

  3. Delphi For Android 开发笔记-附:如何Delphi中同时实现Windows、Android版的GetModuleFileName函数

    在Windows中开发DLL时,经常会需要获取当前DLL所在目录以便读取同目录下的其他文件,而目前Delphi在开发android时,其实没多大必要获取,因为整个工程只有一个so文件,而这个so文件也 ...

  4. 在windows下解压缩Linux内核源代码出现重复文件原因

    在windows下解压缩Linux内核源代码出现重复文件原因 2009年06月30日 13:35 来源:ChinaUnix博客 作者:embededgood 编辑:周荣茂     原因一.因为在Lin ...

  5. Qt Windows下链接子系统与入口函数(终结版)(可同时存在main和WinMain函数)

    Qt Windows下链接子系统与入口函数(终结版) 转载自:http://blog.csdn.net/dbzhang800/article/details/6358996 能力所限,本讨论仅局限于M ...

  6. linux2.6内核compat_ioctl函数

    一.内核原型(linux2.6.28-7) long (*compat_ioctl)(struct tty_struct *tty, struct file * file,               ...

  7. Windows下DLL查找顺序

    目录 第1章说明    2 1.1 查找顺序    2 1.1.1 检查DllCharacteristics字段    3 1.1.2 读取manifset资源    3 1.1.3 读取manifs ...

  8. Linux内核d_path函数应用的经验总结

    问题背景 一个内核模块中,需要通过d_path接口获取文件的路径,然后与目标文件白名单做匹配. 在生产环境中,获取的文件是存在的,但是与文件白名单中的文件总是匹配失败. 问题定位: 通过打印d_pat ...

  9. 内核开发知识第一讲.内核中的数据类型.重要数据结构.常用内核API函数.

    一丶内核中的数据类型 在内核中.程序的编写不能简单的用基本数据类型了. 因为操作系统不同.很有可能造成数据类型的长度不一.而产生重大问题.所以在内核中. 数据类型都一定重定义了. 数据类型 重定义数据 ...

随机推荐

  1. 状压dp大总结1 [洛谷]

    前言 状态压缩是一种\(dp\)里的暴力,但是非常优秀,状态的转移,方程的转移和定义都是状压\(dp\)的难点,本人在次总结状压dp的几个题型和例题,便于自己以后理解分析状态和定义方式 状态压缩动态规 ...

  2. centos7----创建虚拟环境

    优点 使不同的应用开发环境独立 环境升级不影响其他应用,也不会影响全局的python环境 它可以防止系统出现包管理混乱和版本的冲突 安装 pip install virtualenv 创建虚拟环境 v ...

  3. 数组中出现次数超过一半的数字(剑指offer-28)

    题目描述 数组中有一个数字出现的次数超过数组长度的一半,请找出这个数字.例如输入一个长度为9的数组{1,2,3,2,2,2,5,4,2}.由于数字2在数组中出现了5次,超过数组长度的一半,因此输出2. ...

  4. JVM 专题四:类加载子系统(二)双亲委派机制

    2. 双亲委派机制 2.1 双亲委派机制工作原理 2.1.1 原理 Java虚拟机对class文件采用的是按需加载的方式,也就是说当需要使用该类时才会将它的class文件加载到内存,生成class对象 ...

  5. uPDF-功能强大的PDF文件处理小工具

    前几天因为工作原因,需要将一个PDF压缩一下. 网上找了半天,要么收费,要么就是转换的质量不太好.论坛也找到一些破解的软件,但是总有点不太合适,有些功能还挺复杂.也有些在线转换的,又考虑到自己较为隐私 ...

  6. 京东秋招提前批初试--java开发工程师

    1,自我介绍,学过的课程有哪些 2,介绍一下java的内存结构和内存模型(jvm和jmm) 3,对于NIO有没有了解?作用是什么?(基于通道和缓冲区的I/O方式,用的是DirectByteBuffer ...

  7. C# 人脸识别库 0.2

    ViewFaceCore 0.2 超简单的 C# 人脸识别库 前言: 首先谢谢大家对这个库的关注,前一篇博文得到了大家的 支持 和 Star,十分开心.本想尽快实现大家的期待的活体检测功能,但是前段时 ...

  8. GPO - Set Date and Time for Updates

    For Windows Update, the limitation normally is a time window, disk space, network bandwidth. Create ...

  9. win7下建立docker共享文件夹

    前言 建立本机(win7)和VirtualBox中docker虚拟机的共享文件夹,注:下面的命令都是以root身份运行的,使用sudo -i切换到root身份,如无法切换,请自行在命令前加上sudo命 ...

  10. 设计模式:chain of responsibility模式

    目的:弱化发出请求的对象和处理请求对象的之间的关系 理解:每个处理请求的对象仅仅只关注自己能处理的请求,不关系其他请求 优点: 无需一个管理类来匹配所有的请求,更灵活 责任链可以动态的调整 Andor ...