多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导出,从而更好的对样本进行分析,当然某些加密壳可能无效但绝大多数情况下是可以被转存的。

在上一篇文章《驱动开发:内核R3与R0内存映射拷贝》介绍了一种方式SafeCopyMemory_R3_to_R0可以将应用层进程的内存空间映射到内核中,要实现内存转储功能我们还是需要使用这个映射函数,只是需要在此函数上增加一些功能而已。

在实现转存之前,需要得到两个东西,进程内模块基地址以及模块长度这两个参数是必不可少的,至于内核中如何得到指定进程的模块数据,在很早之前的文章《驱动开发:内核中枚举进线程与模块》中有详细的参考方法,这里就在此基础之上实现一个简单的进程模块遍历功能。

如下代码中使用的就是枚举进程PEB结构得到更多参数的具体实现,如果不懂得可以研读《驱动开发:内核通过PEB得到进程参数》这篇文章此处不再赘述。

#include <ntddk.h>

#include <windef.h>

// 声明结构体

typedef struct _KAPC_STATE

{

	LIST_ENTRY ApcListHead[2];

	PKPROCESS Process;

	UCHAR KernelApcInProgress;

	UCHAR KernelApcPending;

	UCHAR UserApcPending;

} KAPC_STATE, *PKAPC_STATE;

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;

	LIST_ENTRY64	InMemoryOrderLinks;

	LIST_ENTRY64	InInitializationOrderLinks;

	PVOID			DllBase;

	PVOID			EntryPoint;

	ULONG			SizeOfImage;

	UNICODE_STRING	FullDllName;

	UNICODE_STRING 	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadedImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG64			OriginalBase;

	LARGE_INTEGER	LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

// 偏移地址

ULONG64 LdrInPebOffset = 0x018;		//peb.ldr

ULONG64 ModListInPebOffset = 0x010;	//peb.ldr.InLoadOrderModuleList

// 声明API

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);

NTKERNELAPI PPEB PsGetProcessPeb(PEPROCESS Process);

NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process);

// 根据进程ID返回进程EPROCESS,失败返回NULL

PEPROCESS LookupProcess(HANDLE Pid)

{

	PEPROCESS eprocess = NULL;

	if (NT_SUCCESS(PsLookupProcessByProcessId(Pid, &eprocess)))

		return eprocess;

	else

		return NULL;

}

// 枚举指定进程的模块

// By: LyShark.com

VOID EnumModule(PEPROCESS Process)

{

	SIZE_T Peb = 0;

	SIZE_T Ldr = 0;

	PLIST_ENTRY ModListHead = 0;

	PLIST_ENTRY Module = 0;

	ANSI_STRING AnsiString;

	KAPC_STATE ks;

	// EPROCESS地址无效则退出

	if (!MmIsAddressValid(Process))

		return;

	// 获取PEB地址

	Peb = (SIZE_T)PsGetProcessPeb(Process);

	// PEB地址无效则退出

	if (!Peb)

		return;

	// 依附进程

	KeStackAttachProcess(Process, &ks);

	__try

	{

		// 获得LDR地址

		Ldr = Peb + (SIZE_T)LdrInPebOffset;

		// 测试是否可读,不可读则抛出异常退出

		ProbeForRead((CONST PVOID)Ldr, 8, 8);

		// 获得链表头

		ModListHead = (PLIST_ENTRY)(*(PULONG64)Ldr + ModListInPebOffset);

		// 再次测试可读性

		ProbeForRead((CONST PVOID)ModListHead, 8, 8);

		// 获得第一个模块的信息

		Module = ModListHead->Flink;

		while (ModListHead != Module)

		{

			//打印信息:基址、大小、DLL路径

			DbgPrint("模块基址 = %p | 大小 = %ld | 模块名 = %wZ | 完整路径= %wZ \n",

				(PVOID)(((PLDR_DATA_TABLE_ENTRY)Module)->DllBase),

				(ULONG)(((PLDR_DATA_TABLE_ENTRY)Module)->SizeOfImage),

				&(((PLDR_DATA_TABLE_ENTRY)Module)->BaseDllName),

				&(((PLDR_DATA_TABLE_ENTRY)Module)->FullDllName)

				);

			Module = Module->Flink;

			// 测试下一个模块信息的可读性

			ProbeForRead((CONST PVOID)Module, 80, 8);

		}

	}

	__except (EXCEPTION_EXECUTE_HANDLER){ ; }

	// 取消依附进程

	KeUnstackDetachProcess(&ks);

}

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	ULONG i = 0;

	PEPROCESS eproc = NULL;

	for (i = 4; i<100000000; i = i + 4)

	{

		eproc = LookupProcess((HANDLE)i);

		if (eproc != NULL)

		{

			ObDereferenceObject(eproc);

			if (strstr(PsGetProcessImageFileName(eproc), "lyshark.exe") != NULL)

			{

				EnumModule(eproc);

			}

		}

	}

	DriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;

}

如上我们指定获取应用层lyshark.exe进程的模块信息,并可得到以下输出效果:

上篇文章中的代码就不再啰嗦了,这里只给出内存转存的核心代码,如下代码:

  • RtlInitUnicodeString 用于初始化转存后的名字字符串
  • ZwCreateFile 内核中创建文件到应用层
  • ZwWriteFile 将文件写出到文件
  • ZwClose 最后是关闭文件并释放堆空间

很简单只是利用了SafeCopyMemory_R3_to_R0将进程内存读取到缓冲区内,并将缓冲区写出到C盘目录下。

// 进程内存拷贝函数

// By: LyShark.com

NTSTATUS ProcessDumps(PEPROCESS pEprocess, ULONG_PTR nBase, ULONG nSize)

{

	BOOLEAN bAttach = FALSE;

	KAPC_STATE ks = { 0 };

	PVOID pBuffer = NULL;

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	if (nSize == 0 || pEprocess == NULL)

	{

		return status;

	}

	pBuffer = ExAllocatePoolWithTag(PagedPool, nSize, 'lysh');

	if (!pBuffer)

	{

		return status;

	}

	memset(pBuffer, 0, nSize);

	if (pEprocess != IoGetCurrentProcess())

	{

		KeStackAttachProcess(pEprocess, &ks);

		bAttach = TRUE;

	}

	status = SafeCopyMemory_R3_to_R0(nBase, (ULONG_PTR)pBuffer, nSize);

	if (bAttach)

	{

		KeUnstackDetachProcess(&ks);

		bAttach = FALSE;

	}

	OBJECT_ATTRIBUTES object;

	IO_STATUS_BLOCK io;

	HANDLE hFile;

	UNICODE_STRING log;

	// 导出文件名称

	RtlInitUnicodeString(&log, L"\\??\\C:\\lyshark_dumps.exe");

	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);

	status = ZwCreateFile(&hFile,

		GENERIC_WRITE,

		&object,

		&io,

		NULL,

		FILE_ATTRIBUTE_NORMAL,

		FILE_SHARE_WRITE,

		FILE_OPEN_IF,

		FILE_SYNCHRONOUS_IO_NONALERT,

		NULL,

		0);

	if (!NT_SUCCESS(status))

	{

		DbgPrint("打开文件错误 \n");

		return STATUS_SUCCESS;

	}

	ZwWriteFile(hFile, NULL, NULL, NULL, &io, pBuffer, nSize, NULL, NULL);

	DbgPrint("写出字节数: %d \n", io.Information);

	DbgPrint("[*] LyShark.exe 已转存");

	ZwClose(hFile);

	if (pBuffer)

	{

		ExFreePoolWithTag(pBuffer, 'lysh');

		pBuffer = NULL;

	}

	return status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

// lyshark.com

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS ntStatus;

	PEPROCESS pCurProcess = NULL;

	__try

	{

		ntStatus = PsLookupProcessByProcessId((HANDLE)272, &pCurProcess);

		if (NT_SUCCESS(ntStatus))

		{

			// 设置基地址以及长度

			ntStatus = ProcessDumps(pCurProcess, 0x140000000, 1024);

			ObDereferenceObject(pCurProcess);

		}

	}

	__except (1)

	{

		ntStatus = GetExceptionCode();

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

转存后效果如下所示:

至于导出的进程无法运行只是没有修复而已(后期会讲),可以打开看看是没错的。

驱动开发:内核中实现Dump进程转储的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  3. Linux 内核开发—内核简单介绍

    内核简单介绍 Linux 构成 Linux 为什么被划分为系统空间和内核空间 隔离核心程序和应用程序,实现对核心程序和数据的保护. 什么内核空间,用户空间 内核空间和用户空间是程序执行的两种不同的状态 ...

  4. Android系统移植与驱动开发----第一章

    第一章 Android系统移植与驱动开发 Android源代码定制完全属于自己的嵌入式系统,但是支持的设备不多,所以要移植,而在移植的过程中使用的不得不提的是驱动开发. Android系统构架主要包括 ...

  5. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  6. Window驱动开发

    驱动开发 参考文章: Windbg+Vmware驱动调试 http://blog.csdn.net/xuepiaosong/article/details/8236702 驱动调试攻略(WinDbg) ...

  7. KSM剖析——Linux 内核中的内存去耦合

    简介: 作为一个系统管理程序(hypervisor),Linux® 有几个创新,2.6.32 内核中一个有趣的变化是 KSM(Kernel Samepage Merging)  允许这个系统管理程序通 ...

  8. (转)FS_S5PC100平台上Linux Camera驱动开发详解(一) .

     平台linuxstructlinux内核videocam 说明:        理解摄像头驱动需要四个前提:        1)摄像头基本的工作原理和S5PC100集成的Camera控制器的工作原理 ...

  9. 第六周分析Linux内核创建一个新进程的过程

    潘恒 原创作品转载请注明出处<Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 task_struct结构: ...

随机推荐

  1. CSS样式快速入门

    CSS样式快速入门 前言 前端基础的博客主要分为HTML.CSS和JavaScript,本类博客主要用于记录博主的学习过程和分享学习经验,由于博主学识浅薄,经验不足,难免会出现错误,欢迎大家提出问题. ...

  2. 汇编语言基于8086CUP(想学操作系统的前奏!!!)

    汇编语言基于8086CUP(想学操作系统的前奏!!!) 1.汇编语言的产生 1.1.思维图 1.2.单位转换 1B=8bit 1KB=1024B 1MB=1024KB 1GB=1024MB 1TB=1 ...

  3. pnpm 的 workspace 实现 monorepo 工程

    前言 前端多个包管理的的方式一般都是采用monorepo的方式去管理,之前都是使用的lerna的workspace去管理.这段时间包管理切换到了pnpm上,它也有worksapce,可以支持monor ...

  4. Gulp介绍及安装使用教程

    一.简介 gulp是前端开发过程中对代码进行构建的工具,是自动化项目的构建利器,不仅能对网站资源进行优化,而且在开发过程中很多重复的任务能够使用正确的工具自动完成,使用她,我们不仅可以很愉快的编写代码 ...

  5. mybatispluys-Mapper CRUD 接口

    Mapper CRUD 接口 通用 CRUD 封装BaseMapper (opens new window)接口,为 Mybatis-Plus 启动时自动解析实体表关系映射转换为 Mybatis 内部 ...

  6. 从new File("")到jdk源码

    1. 概述 今天在项目中看到下面两行代码,看注释说是获取当前工作路径,之前也没有用过这种用法,比较好奇还能这样用,所以研究了一下源码. //获取当前工作路径 File file = new File( ...

  7. 记一次血淋淋的MySQL崩溃修复案例

    摘要:今天给大家带来一篇MySQL数据库崩溃的修复案例 本文分享自华为云社区<记一次MySQL崩溃修复案例,再也不用删库跑路了>,作者: 冰 河. 问题描述 研究MySQL源代码,调试并压 ...

  8. java数组---多维数组

    多维数组 多维数组可以看成是数组的数组 比如二维数组就是一个特殊的一维数组,其每一个元素都是一个一维数组. 二维数组 public static void main(String[] args) { ...

  9. 第三十三篇:关于ES6,JSON和Webpack

    好家伙 1.什么是ES6? ECMAScript是javascript标准 ES6就是ECMAScript的第6个版本 (大概是一个语法标准规范) 2.什么是JSON? JSON 是什么,在数据交换中 ...

  10. kingbaseES V8R6集群备份恢复案例之---备库作为repo主机执行物理备份

    ​ 案例说明: 此案例是在KingbaseES V8R6集群环境下,当主库磁盘空间不足时,执行sys_rman备份,将集群的备库节点作为repo主机,执行备份,并将备份存储在备库的磁盘空间. 集群架构 ...