X64枚举和隐藏内核模块

在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 InLoadOrderLinks 双向链表;隐藏内核模块的通用方法是把指定的驱动对象从 KLDR_DATA_TABLE_ENTRY中的 InLoadOrderLinks 双向链表上摘除。

X64内核模块枚举(注意是在R3)

#include <stdio.h>

#include <Windows.h>

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)

(

	IN ULONG	SystemInformationClass,

	OUT PVOID	SystemInformation,

	IN ULONG	Length,

	OUT PULONG	ReturnLength

);

typedef unsigned long DWORD;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY

{

    ULONG Unknow1;

    ULONG Unknow2;

    ULONG Unknow3;

	ULONG Unknow4;

    PVOID Base;

    ULONG Size;

    ULONG Flags;

    USHORT Index;

    USHORT NameLength;

    USHORT LoadCount;

    USHORT ModuleNameOffset;

    char ImageName[256];

} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION

{

    ULONG Count;//内核中以加载的模块的个数

    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation;

BOOLEAN EnumKM(char *HighlightDrvName)

{

    ULONG NeedSize, i, ModuleCount, HLed=0, BufferSize = 0x5000;

    PVOID pBuffer = NULL;

	PCHAR pDrvName = NULL;

    NTSTATUS Result;

    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;

    do

    {

        //分配内存

        pBuffer = malloc( BufferSize );

        if( pBuffer == NULL )

            return 0;

        //查询模块信息

        Result = ZwQuerySystemInformation( 11, pBuffer, BufferSize, &NeedSize );

        if( Result == 0xC0000004L )

        {

            free( pBuffer );

            BufferSize *= 2;

        }

        else if( Result<0 )

        {

            //查询失败则退出

            free( pBuffer );

            return 0;

        }

    }

    while( Result == 0xC0000004L );

    pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;

	//获得模块的总数量

    ModuleCount = pSystemModuleInformation->Count;

	//遍历所有的模块

    for( i = 0; i < ModuleCount; i++ )

	{

		if((ULONG64)(pSystemModuleInformation->Module[i].Base) > (ULONG64)0x8000000000000000)

		{

			pDrvName = pSystemModuleInformation->Module[i].ImageName+pSystemModuleInformation->Module[i].ModuleNameOffset;

			printf("0x%llx\t%s",(ULONG64)pSystemModuleInformation->Module[i].Base,pDrvName);

			if( _stricmp(pDrvName,HighlightDrvName)==0 )

			{

				printf("\t\t<--------------------");

				HLed=1;

			}

			printf("\n");

		}

	}

	if(HLed==0)

		printf("\n[%s] NOT FOUND!",HighlightDrvName);

	free(pBuffer);

	return 1;

}

int main()

{

	ZwQuerySystemInformation=(ZWQUERYSYSTEMINFORMATION)GetProcAddress(LoadLibraryW(L"ntdll.dll"),"ZwQuerySystemInformation");

	EnumKM("win32k.sys");

	getchar();

	return 0;

}


然后是R0隐藏内核模块,摘链问题。也就是要注意结构定义细节就行了。

#include <ntddk.h>

#define kprintf		DbgPrint

#define kmalloc(_s)	ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSQ')

#define kfree(_p)	ExFreePool(_p)

NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation

(

	IN ULONG	SystemInformationClass,

	OUT PVOID	SystemInformation,

	IN ULONG	Length,

	OUT PULONG	ReturnLength

);

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY

{

    ULONG Unknow1;

    ULONG Unknow2;

    ULONG Unknow3;

	ULONG Unknow4;

    PVOID Base;

    ULONG Size;

    ULONG Flags;

    USHORT Index;

    USHORT NameLength;

    USHORT LoadCount;

    USHORT ModuleNameOffset;

    char ImageName[256];

} SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION

{

    ULONG Count;//内核中以加载的模块的个数

    SYSTEM_MODULE_INFORMATION_ENTRY Module[1];

} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

typedef struct _KLDR_DATA_TABLE_ENTRY

{

    LIST_ENTRY64 InLoadOrderLinks;

    ULONG64 __Undefined1;

    ULONG64 __Undefined2;

    ULONG64 __Undefined3;

    ULONG64 NonPagedDebugInfo;

    ULONG64 DllBase;

    ULONG64 EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG   Flags;

    USHORT  LoadCount;

    USHORT  __Undefined5;

    ULONG64 __Undefined6;

    ULONG   CheckSum;

    ULONG   __padding1;

    ULONG   TimeDateStamp;

    ULONG   __padding2;

}KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

PDRIVER_OBJECT pDriverObject = NULL;

ULONG64 GetSystemModuleBase(char* lpModuleName)

{

    ULONG NeedSize, i, ModuleCount, BufferSize = 0x5000;

    PVOID pBuffer = NULL;

	PCHAR pDrvName = NULL;

    NTSTATUS Result;

    PSYSTEM_MODULE_INFORMATION pSystemModuleInformation;

    do

    {

        //分配内存

        pBuffer = kmalloc( BufferSize );

        if( pBuffer == NULL )

            return 0;

        //查询模块信息

        Result = ZwQuerySystemInformation( 11, pBuffer, BufferSize, &NeedSize );

        if( Result == STATUS_INFO_LENGTH_MISMATCH )

        {

            kfree( pBuffer );

            BufferSize *= 2;

        }

        else if( !NT_SUCCESS(Result) )

        {

            //查询失败则退出

            kfree( pBuffer );

            return 0;

        }

    }

    while( Result == STATUS_INFO_LENGTH_MISMATCH );

    pSystemModuleInformation = (PSYSTEM_MODULE_INFORMATION)pBuffer;

	//获得模块的总数量

    ModuleCount = pSystemModuleInformation->Count;

	//遍历所有的模块

    for( i = 0; i < ModuleCount; i++ )

	{

		if((ULONG64)(pSystemModuleInformation->Module[i].Base) > (ULONG64)0x8000000000000000)

		{

			pDrvName = pSystemModuleInformation->Module[i].ImageName+pSystemModuleInformation->Module[i].ModuleNameOffset;

			if( _stricmp(pDrvName,lpModuleName)==0 )

				return (ULONG64)pSystemModuleInformation->Module[i].Base;

		}

	}

	kfree(pBuffer);

	return 0;

}

VOID HideDriver(char *pDrvName)

{

    PKLDR_DATA_TABLE_ENTRY entry=(PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

    PKLDR_DATA_TABLE_ENTRY firstentry;

	ULONG64 pDrvBase=0;

	KIRQL OldIrql;

    firstentry = entry;

	pDrvBase = GetSystemModuleBase(pDrvName);

    while((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)

    {

        if( entry->DllBase==pDrvBase )

        {

			//typedef struct LIST_ENTRY64 {

			//	ULONGLONG Flink;

			//	ULONGLONG Blink;

			//} LIST_ENTRY64;

			//typedef LIST_ENTRY64 *PLIST_ENTRY64;

			//le->Flink->Blink=le->Blink;

			//le->Blink->Flink=le->Flink;

			OldIrql = KeRaiseIrqlToDpcLevel();

			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Flink))->Blink=entry->InLoadOrderLinks.Blink;

			((LIST_ENTRY64*)(entry->InLoadOrderLinks.Blink))->Flink=entry->InLoadOrderLinks.Flink;

			entry->InLoadOrderLinks.Flink=0;

			entry->InLoadOrderLinks.Blink=0;

			KeLowerIrql(OldIrql);

			DbgPrint("Remove LIST_ENTRY64 OK!");

			break;

        }

		//kprintf("%llx\t%wZ\t%wZ",entry->DllBase,entry->BaseDllName,entry->FullDllName);

        entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;

    }

}

NTSTATUS UnloadDriver(IN PDRIVER_OBJECT DriverObject)

{

    return STATUS_SUCCESS;

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)

{

    DriverObject->DriverUnload = UnloadDriver;

    pDriverObject = DriverObject;

    HideDriver("win32k.sys");	//hidekm64.sys

    return STATUS_SUCCESS;

}

Win64 驱动内核编程-25.X64枚举和隐藏内核模块的更多相关文章

  1. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  2. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  3. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  4. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-32.枚举与删除注册表回调

    枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT 上 HOOK 十几个 API 的效果.部分游戏保护还会在注册表回调上做功夫,监控 service ...

  7. Win64 驱动内核编程-34.对抗与枚举MiniFilter

    对抗与枚举MiniFilter MiniFilter 是目前杀毒软件用来实现"文件系统自我保护"和"文件实时监控"的方法. 由于 MiniFilter 模型简单 ...

  8. Win64 驱动内核编程-28.枚举消息钩子

    枚举消息钩子 简单粘贴点百度的解释,科普下消息钩子: 钩子是WINDOWS中消息处理机制的一个要点,通过安装各种钩子,应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之 ...

  9. Win64 驱动内核编程-31.枚举与删除映像回调

    枚举与删除映像回调 映像回调可以拦截 RING3 和 RING0 的映像加载.某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR.WIN64AST 的驱动.同理,在反游戏保护的过程中,也可以 ...

随机推荐

  1. 免费报表工具 积木报表(JiMuReport)的安装

    分享一b/s报表工具(服务),积木报表(JiMuReport),张代浩大佬出品. 官网:http://www.jimureport.com/ 离线版官方下载:https://github.com/zh ...

  2. Docker 三剑客 到 k8s 介绍

    一.Docker 三剑客 Docker-Compose Docker-Compose 是用来管理你的容器的,有点像一个容器的管家,想象一下当你的Docker中有成百上千的容器需要启动,如果一个一个的启 ...

  3. 鸿蒙应用程序Ability(能力)看这一篇就够

    本节概述 什么是Ability Ability分类 Ability生命周期 Ability之间跳转 什么是Ability Ability意为能力,是HarmonyOS应用程序提供的抽象功能.在Andr ...

  4. Python编程中可能经常用到的函数

    1.os.walk() 一般用法为 import os ph=r'D:\temp\build' for root,dirs,files in os.walk(ph): print(root,dirs, ...

  5. python基础学习之类的属性 增删改查

    类中的属性如何在类外部使用代码进行增删改查呢 增加.改变: setattr内置函数以及 __setattr__魔法方法 class A: aaa = '疏楼龙宿' a = A() setattr(a, ...

  6. 解决linux sudo apt-get install xx是2出现无法定位软件包方法

    解决办法: 在etc/apt/sources.list最后一行添加 deb http://archive.ubuntu.com/ubuntu/ trusty main universe restric ...

  7. DNA序列(JAVA语言)

    package 第三章习题; /*  * 输入m个长度均为n的DNA序列,求一个DNA序列,到所有序列的总Hamming距离尽量小.  * 两个等长字符串的Hamming距离等于字符不同的位置个数, ...

  8. 我的开源GIS解决方案之路

    好久没更新了,因为我在--憋--大--招--,对,就是今天这篇. 今天跟大家分享一下我的开源GIS解决方案经历. --额-- 考虑到单聊技术解决方案你可能会很快睡着,所以我今天会把重点放在我封装地图A ...

  9. Redis实战篇(四)基于GEO实现查找附近的人功能

    如果现在要开发一个功能: 要为一款交友App实现查找附近的人,并按距离进行排序. 让你来开发这个功能,你会如何实现? MySQL 不合适 你可能想到,把用户用户的经纬度坐标使用MySQL等关系数据库( ...

  10. 批处理文件设置IP以及DNS

    先附上批处理文件代码(批处理文件怎么创建自己另行百度,这里不再赘述) Echo offecho ==============请输入序号修改办公区===========echo *********1.家 ...