在笔者之前的文章《内核特征码搜索函数封装》中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个LoadImage映像加载通告回调,当有新驱动或者DLL被加载时,回调函数就会被调用从而执行我们自己的回调例程,映像回调也存储在数组里,枚举时从数组中读取值之后,需要进行位运算解密得到地址。

LoadImage映像回调是Windows操作系统提供的一种机制,它允许开发者在加载映像文件(如DLL、EXE等)时拦截并修改映像的加载过程。LoadImage映像回调是通过操作系统提供的ImageLoad事件机制来实现的。

当操作系统加载映像文件时,它会调用LoadImage函数。在LoadImage函数内部,操作系统会触发ImageLoad事件,然后在ImageLoad事件中调用注册的LoadImage映像回调函数。开发者可以在LoadImage映像回调函数中执行自定义的逻辑,例如修改映像文件的内容,或者阻止映像文件的加载。

LoadImage映像回调可以通过Win32 API函数SetImageLoadCallback或者操作系统提供的驱动程序回调函数PsSetLoadImageNotifyRoutine来进行注册。同时,LoadImage映像回调函数需要遵守一定的约束条件,例如必须是非分页代码,不能调用一些内核API函数等。

我们来看一款闭源ARK工具是如何实现的:

如上所述,如果我们需要拿到回调数组那么首先要得到该数组,数组的符号名是PspLoadImageNotifyRoutine我们可以在PsSetLoadImageNotifyRoutineEx中找到。

第一步使用WinDBG输入uf PsSetLoadImageNotifyRoutineEx首先定位到,能够找到PsSetLoadImageNotifyRoutineEx这里的两个位置都可以被引用,当然了这个函数可以直接通过PsSetLoadImageNotifyRoutineEx函数动态拿到此处不需要我们动态定位。

我们通过获取到PsSetLoadImageNotifyRoutineEx函数的内存首地址,然后向下匹配特征码搜索找到488d0d88e8dbff并取出PspLoadImageNotifyRoutine内存地址,该内存地址就是LoadImage映像模块的基址。

如果使用代码去定位这段空间,则你可以这样写,这样即可得到具体特征地址。

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

    PVOID pAddress = NULL;

    PUCHAR i = NULL;

    ULONG m = 0;

    // 扫描内存

    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

    {

        // 判断特征码

        for (m = 0; m < ulMemoryDataSize; m++)

        {

            if (*(PUCHAR)(i + m) != pMemoryData[m])

            {

                break;

            }

        }

        // 判断是否找到符合特征码的地址

        if (m >= ulMemoryDataSize)

        {

            // 找到特征码位置, 获取紧接着特征码的下一地址

            pAddress = (PVOID)(i + ulMemoryDataSize);

            break;

        }

    }

    return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

    UNICODE_STRING ustrFuncName;

    PVOID pAddress = NULL;

    LONG lOffset = 0;

    PVOID pPsSetLoadImageNotifyRoutine = NULL;

    PVOID pPspLoadImageNotifyRoutine = NULL;

    // 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

    RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

    pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

    if (NULL == pPsSetLoadImageNotifyRoutine)

    {

        return pPspLoadImageNotifyRoutine;

    }

    // 查找 PspLoadImageNotifyRoutine  函数地址

    pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

    if (NULL == pAddress)

    {

        return pPspLoadImageNotifyRoutine;

    }

    // 先获取偏移, 再计算地址

    lOffset = *(PLONG)pAddress;

    pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

    return pPspLoadImageNotifyRoutine;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    PVOID pPspLoadImageNotifyRoutineAddress = NULL;

    RTL_OSVERSIONINFOW osInfo = { 0 };

    UCHAR pSpecialData[50] = { 0 };

    ULONG ulSpecialDataSize = 0;

    // 获取系统版本信息, 判断系统版本

    RtlGetVersion(&osInfo);

    if (10 == osInfo.dwMajorVersion)

    {

        // 48 8d 0d 88 e8 db ff

        // 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

        /*

        nt!PsSetLoadImageNotifyRoutineEx+0x41:

        fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

        fffff801`80748a88 4533c0          xor     r8d,r8d

        fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

        fffff801`80748a8f 488bd7          mov     rdx,rdi

        fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

        fffff801`80748a97 84c0            test    al,al

        fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

        */

        pSpecialData[0] = 0x48;

        pSpecialData[1] = 0x8D;

        pSpecialData[2] = 0x0D;

        ulSpecialDataSize = 3;

    }

    // 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

    pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

    DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

将这个驱动拖入到虚拟机中并运行,输出结果如下:

有了数组地址接下来就是要对数组进行解密,如何解密?

  • 1.首先拿到数组指针pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i此处的i也就是下标。
  • 2.得到的新地址在与pNotifyRoutineAddress & 0xfffffffffffffff8进行与运算。
  • 3.最后*(PVOID *)pNotifyRoutineAddress取出里面的参数。

增加解密代码以后,这段程序的完整代码也就可以被写出来了,如下所示。

#include <ntddk.h>

#include <windef.h>

// 指定内存区域的特征码扫描

PVOID SearchMemory(PVOID pStartAddress, PVOID pEndAddress, PUCHAR pMemoryData, ULONG ulMemoryDataSize)

{

    PVOID pAddress = NULL;

    PUCHAR i = NULL;

    ULONG m = 0;

    // 扫描内存

    for (i = (PUCHAR)pStartAddress; i < (PUCHAR)pEndAddress; i++)

    {

        // 判断特征码

        for (m = 0; m < ulMemoryDataSize; m++)

        {

            if (*(PUCHAR)(i + m) != pMemoryData[m])

            {

                break;

            }

        }

        // 判断是否找到符合特征码的地址

        if (m >= ulMemoryDataSize)

        {

            // 找到特征码位置, 获取紧接着特征码的下一地址

            pAddress = (PVOID)(i + ulMemoryDataSize);

            break;

        }

    }

    return pAddress;

}

// 根据特征码获取 PspLoadImageNotifyRoutine 数组地址

PVOID SearchPspLoadImageNotifyRoutine(PUCHAR pSpecialData, ULONG ulSpecialDataSize)

{

    UNICODE_STRING ustrFuncName;

    PVOID pAddress = NULL;

    LONG lOffset = 0;

    PVOID pPsSetLoadImageNotifyRoutine = NULL;

    PVOID pPspLoadImageNotifyRoutine = NULL;

    // 先获取 PsSetLoadImageNotifyRoutineEx 函数地址

    RtlInitUnicodeString(&ustrFuncName, L"PsSetLoadImageNotifyRoutineEx");

    pPsSetLoadImageNotifyRoutine = MmGetSystemRoutineAddress(&ustrFuncName);

    if (NULL == pPsSetLoadImageNotifyRoutine)

    {

        return pPspLoadImageNotifyRoutine;

    }

    // 查找 PspLoadImageNotifyRoutine  函数地址

    pAddress = SearchMemory(pPsSetLoadImageNotifyRoutine, (PVOID)((PUCHAR)pPsSetLoadImageNotifyRoutine + 0xFF), pSpecialData, ulSpecialDataSize);

    if (NULL == pAddress)

    {

        return pPspLoadImageNotifyRoutine;

    }

    // 先获取偏移, 再计算地址

    lOffset = *(PLONG)pAddress;

    pPspLoadImageNotifyRoutine = (PVOID)((PUCHAR)pAddress + sizeof(LONG) + lOffset);

    return pPspLoadImageNotifyRoutine;

}

// 移除回调

NTSTATUS RemoveNotifyRoutine(PVOID pNotifyRoutineAddress)

{

  NTSTATUS status = PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)pNotifyRoutineAddress);

  return status;

}

VOID UnDriver(PDRIVER_OBJECT Driver)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    PVOID pPspLoadImageNotifyRoutineAddress = NULL;

    RTL_OSVERSIONINFOW osInfo = { 0 };

    UCHAR pSpecialData[50] = { 0 };

    ULONG ulSpecialDataSize = 0;

    // 获取系统版本信息, 判断系统版本

    RtlGetVersion(&osInfo);

    if (10 == osInfo.dwMajorVersion)

    {

        // 48 8d 0d 88 e8 db ff

        // 查找指令 lea rcx,[nt!PspLoadImageNotifyRoutine (fffff804`44313ce0)]

        /*

        nt!PsSetLoadImageNotifyRoutineEx+0x41:

        fffff801`80748a81 488d0dd8d3dbff  lea     rcx,[nt!PspLoadImageNotifyRoutine (fffff801`80505e60)]

        fffff801`80748a88 4533c0          xor     r8d,r8d

        fffff801`80748a8b 488d0cd9        lea     rcx,[rcx+rbx*8]

        fffff801`80748a8f 488bd7          mov     rdx,rdi

        fffff801`80748a92 e80584a3ff      call    nt!ExCompareExchangeCallBack (fffff801`80180e9c)

        fffff801`80748a97 84c0            test    al,al

        fffff801`80748a99 0f849f000000    je      nt!PsSetLoadImageNotifyRoutineEx+0xfe (fffff801`80748b3e)  Branch

        */

        pSpecialData[0] = 0x48;

        pSpecialData[1] = 0x8D;

        pSpecialData[2] = 0x0D;

        ulSpecialDataSize = 3;

    }

    // 根据特征码获取地址 获取 PspLoadImageNotifyRoutine 数组地址

    pPspLoadImageNotifyRoutineAddress = SearchPspLoadImageNotifyRoutine(pSpecialData, ulSpecialDataSize);

    DbgPrint("[LyShark] PspLoadImageNotifyRoutine = 0x%p \n", pPspLoadImageNotifyRoutineAddress);

    // 遍历回调

    ULONG i = 0;

    PVOID pNotifyRoutineAddress = NULL;

    // 获取 PspLoadImageNotifyRoutine 数组地址

    if (NULL == pPspLoadImageNotifyRoutineAddress)

    {

        return FALSE;

    }

    // 获取回调地址并解密

    for (i = 0; i < 64; i++)

    {

        pNotifyRoutineAddress = *(PVOID *)((PUCHAR)pPspLoadImageNotifyRoutineAddress + sizeof(PVOID) * i);

        pNotifyRoutineAddress = (PVOID)((ULONG64)pNotifyRoutineAddress & 0xfffffffffffffff8);

        if (MmIsAddressValid(pNotifyRoutineAddress))

        {

            pNotifyRoutineAddress = *(PVOID *)pNotifyRoutineAddress;

            DbgPrint("[LyShark] 序号: %d | 回调地址: 0x%p \n", i, pNotifyRoutineAddress);

        }

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行这段完整的程序代码,输出如下效果:

目前系统中只有两个回调,所以枚举出来的只有两条,打开ARK验证一下会发现完全正确,忽略pyark这是后期打开的。

6.7 Windows驱动开发:内核枚举LoadImage映像回调的更多相关文章

  1. 驱动开发:内核枚举LoadImage映像回调

    在笔者之前的文章<驱动开发:内核特征码搜索函数封装>中我们封装实现了特征码定位功能,本章将继续使用该功能,本次我们需要枚举内核LoadImage映像回调,在Win64环境下我们可以设置一个 ...

  2. 驱动开发:内核监视LoadImage映像回调

    在笔者上一篇文章<驱动开发:内核注册并监控对象回调>介绍了如何运用ObRegisterCallbacks注册进程与线程回调,并通过该回调实现了拦截指定进行运行的效果,本章LyShark将带 ...

  3. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  4. 驱动开发:内核枚举Registry注册表回调

    在笔者上一篇文章<驱动开发:内核枚举LoadImage映像回调>中LyShark教大家实现了枚举系统回调中的LoadImage通知消息,本章将实现对Registry注册表通知消息的枚举,与 ...

  5. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  6. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  7. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  8. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  9. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  10. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

随机推荐

  1. C# .NET Socket SocketHelper 高性能 5000客户端 异步接收数据

    网上有很多Socket框架,但是我想,C#既然有Socket类,难道不是给人用的吗? 写了一个SocketServerHelper和SocketClientHelper,分别只有5.6百行代码,比不上 ...

  2. DS | 一维数组 & 二维数组 & 对称矩阵 & 三角矩阵 & 三对角矩阵地址的计算

    一维数组的地址计算 设每个元素的大小是 \(size\),首元素的地址是 \(a[1]\) ,则 a[i] = a[1] + (i-1)*size 若首元素的地址是 \(a[0]\) 则a[i] = ...

  3. Codeforces Round #725 (Div. 3) A~G 题解记录

    补题链接:Here 1538A. Stone Game 数组 \(a\) 的大小为 \(n\) ,请问每次可以删除最左和最右侧的元素,请问最少执行多少次能删除掉数组中的最大值和最小值 (\(1\le ...

  4. 数字孪生智慧物流之 Web GIS 地图应用

    前言 随着数字经济时代的来临,新一轮全球化进程速度加快,在大数据.人工智能.物联网等高新技术深度融合下,加快催化智慧物流发展,引领物流行业划入全新时代. 从物流运输到货物分拣再到站点配送,图扑软件数据 ...

  5. vue 状态管理 五、Module用法

    系列导航 vue 状态管理 一.状态管理概念和基本结构 vue 状态管理 二.状态管理的基本使用 vue 状态管理 三.Mutations和Getters用法 vue 状态管理 四.Action用法 ...

  6. Element 动态表头渲染表格

    element 中的table表头动态渲染 https://blog.csdn.net/heixiuheixiu666/article/details/104705024/ Element 动态表头渲 ...

  7. 机器学习-线性分类-SVM支持向量机算法-12

    目录 1. 铺垫 感知器算法模型 2. SVM 算法思想 3. 硬分割SVM总结 支持向量机(Support Vector Machine, SVM)本身是一个二元分类算法,是对感知器算法模型的一种扩 ...

  8. java垮平台的原理-垃圾回收-day1

    目录 1. 跨平台原理 2. 垃圾回收 3. DOS的几个基本命令 4. PATH环境变量的作用 5 java的安装 6. 第一个java程序 6. 另外两个环境变量CLASS_PATH 与JAVA_ ...

  9. 简单剖析Hashmap

    剖析 Java Hashmap 源码 在 Java 的集合框架中,HashMap 是一颗璀璨的明珠.通过深入挖掘其源码,我们将揭开 HashMap 的神秘面纱,理解其底层原理.扩容机制和数据结构. 1 ...

  10. 《DREEAM Guiding Attention with Evidence for Improving Document-Level Relation Extraction》阅读笔记

    代码   原文地址   预备知识: 1.什么是K-L散度(Kullback-Leibler Divergence)? K-L散度,是一种量化两种概率分布P和Q之间差异的方式,又叫相对熵.在概率学和统计 ...