多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导出,从而更好的对样本进行分析,当然某些加密壳可能无效但绝大多数情况下是可以被转存的。

在上一篇文章《驱动开发:内核R3与R0内存映射拷贝》介绍了一种方式SafeCopyMemory_R3_to_R0可以将应用层进程的内存空间映射到内核中,要实现内存转储功能我们还是需要使用这个映射函数,只是需要在此函数上增加一些功能而已。

在实现转存之前,需要得到两个东西,进程内模块基地址以及模块长度这两个参数是必不可少的,至于内核中如何得到指定进程的模块数据,在很早之前的文章《驱动开发:内核中枚举进线程与模块》中有详细的参考方法,这里就在此基础之上实现一个简单的进程模块遍历功能。

如下代码中使用的就是枚举进程PEB结构得到更多参数的具体实现,如果不懂得可以研读《驱动开发:内核通过PEB得到进程参数》这篇文章此处不再赘述。

#include <ntddk.h>

#include <windef.h>

// 声明结构体

typedef struct _KAPC_STATE

{

	LIST_ENTRY ApcListHead[2];

	PKPROCESS Process;

	UCHAR KernelApcInProgress;

	UCHAR KernelApcPending;

	UCHAR UserApcPending;

} KAPC_STATE, *PKAPC_STATE;

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;

	LIST_ENTRY64	InMemoryOrderLinks;

	LIST_ENTRY64	InInitializationOrderLinks;

	PVOID			DllBase;

	PVOID			EntryPoint;

	ULONG			SizeOfImage;

	UNICODE_STRING	FullDllName;

	UNICODE_STRING 	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadedImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG64			OriginalBase;

	LARGE_INTEGER	LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

// 偏移地址

ULONG64 LdrInPebOffset = 0x018;		//peb.ldr

ULONG64 ModListInPebOffset = 0x010;	//peb.ldr.InLoadOrderModuleList

// 声明API

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);

NTKERNELAPI PPEB PsGetProcessPeb(PEPROCESS Process);

NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process);

// 根据进程ID返回进程EPROCESS,失败返回NULL

PEPROCESS LookupProcess(HANDLE Pid)

{

	PEPROCESS eprocess = NULL;

	if (NT_SUCCESS(PsLookupProcessByProcessId(Pid, &eprocess)))

		return eprocess;

	else

		return NULL;

}

// 枚举指定进程的模块

// By: LyShark.com

VOID EnumModule(PEPROCESS Process)

{

	SIZE_T Peb = 0;

	SIZE_T Ldr = 0;

	PLIST_ENTRY ModListHead = 0;

	PLIST_ENTRY Module = 0;

	ANSI_STRING AnsiString;

	KAPC_STATE ks;

	// EPROCESS地址无效则退出

	if (!MmIsAddressValid(Process))

		return;

	// 获取PEB地址

	Peb = (SIZE_T)PsGetProcessPeb(Process);

	// PEB地址无效则退出

	if (!Peb)

		return;

	// 依附进程

	KeStackAttachProcess(Process, &ks);

	__try

	{

		// 获得LDR地址

		Ldr = Peb + (SIZE_T)LdrInPebOffset;

		// 测试是否可读,不可读则抛出异常退出

		ProbeForRead((CONST PVOID)Ldr, 8, 8);

		// 获得链表头

		ModListHead = (PLIST_ENTRY)(*(PULONG64)Ldr + ModListInPebOffset);

		// 再次测试可读性

		ProbeForRead((CONST PVOID)ModListHead, 8, 8);

		// 获得第一个模块的信息

		Module = ModListHead->Flink;

		while (ModListHead != Module)

		{

			//打印信息:基址、大小、DLL路径

			DbgPrint("模块基址 = %p | 大小 = %ld | 模块名 = %wZ | 完整路径= %wZ \n",

				(PVOID)(((PLDR_DATA_TABLE_ENTRY)Module)->DllBase),

				(ULONG)(((PLDR_DATA_TABLE_ENTRY)Module)->SizeOfImage),

				&(((PLDR_DATA_TABLE_ENTRY)Module)->BaseDllName),

				&(((PLDR_DATA_TABLE_ENTRY)Module)->FullDllName)

				);

			Module = Module->Flink;

			// 测试下一个模块信息的可读性

			ProbeForRead((CONST PVOID)Module, 80, 8);

		}

	}

	__except (EXCEPTION_EXECUTE_HANDLER){ ; }

	// 取消依附进程

	KeUnstackDetachProcess(&ks);

}

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)

{

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	ULONG i = 0;

	PEPROCESS eproc = NULL;

	for (i = 4; i<100000000; i = i + 4)

	{

		eproc = LookupProcess((HANDLE)i);

		if (eproc != NULL)

		{

			ObDereferenceObject(eproc);

			if (strstr(PsGetProcessImageFileName(eproc), "lyshark.exe") != NULL)

			{

				EnumModule(eproc);

			}

		}

	}

	DriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;

}

如上我们指定获取应用层lyshark.exe进程的模块信息,并可得到以下输出效果:

上篇文章中的代码就不再啰嗦了,这里只给出内存转存的核心代码,如下代码:

  • RtlInitUnicodeString 用于初始化转存后的名字字符串
  • ZwCreateFile 内核中创建文件到应用层
  • ZwWriteFile 将文件写出到文件
  • ZwClose 最后是关闭文件并释放堆空间

很简单只是利用了SafeCopyMemory_R3_to_R0将进程内存读取到缓冲区内,并将缓冲区写出到C盘目录下。

// 进程内存拷贝函数

// By: LyShark.com

NTSTATUS ProcessDumps(PEPROCESS pEprocess, ULONG_PTR nBase, ULONG nSize)

{

	BOOLEAN bAttach = FALSE;

	KAPC_STATE ks = { 0 };

	PVOID pBuffer = NULL;

	NTSTATUS status = STATUS_UNSUCCESSFUL;

	if (nSize == 0 || pEprocess == NULL)

	{

		return status;

	}

	pBuffer = ExAllocatePoolWithTag(PagedPool, nSize, 'lysh');

	if (!pBuffer)

	{

		return status;

	}

	memset(pBuffer, 0, nSize);

	if (pEprocess != IoGetCurrentProcess())

	{

		KeStackAttachProcess(pEprocess, &ks);

		bAttach = TRUE;

	}

	status = SafeCopyMemory_R3_to_R0(nBase, (ULONG_PTR)pBuffer, nSize);

	if (bAttach)

	{

		KeUnstackDetachProcess(&ks);

		bAttach = FALSE;

	}

	OBJECT_ATTRIBUTES object;

	IO_STATUS_BLOCK io;

	HANDLE hFile;

	UNICODE_STRING log;

	// 导出文件名称

	RtlInitUnicodeString(&log, L"\\??\\C:\\lyshark_dumps.exe");

	InitializeObjectAttributes(&object, &log, OBJ_CASE_INSENSITIVE, NULL, NULL);

	status = ZwCreateFile(&hFile,

		GENERIC_WRITE,

		&object,

		&io,

		NULL,

		FILE_ATTRIBUTE_NORMAL,

		FILE_SHARE_WRITE,

		FILE_OPEN_IF,

		FILE_SYNCHRONOUS_IO_NONALERT,

		NULL,

		0);

	if (!NT_SUCCESS(status))

	{

		DbgPrint("打开文件错误 \n");

		return STATUS_SUCCESS;

	}

	ZwWriteFile(hFile, NULL, NULL, NULL, &io, pBuffer, nSize, NULL, NULL);

	DbgPrint("写出字节数: %d \n", io.Information);

	DbgPrint("[*] LyShark.exe 已转存");

	ZwClose(hFile);

	if (pBuffer)

	{

		ExFreePoolWithTag(pBuffer, 'lysh');

		pBuffer = NULL;

	}

	return status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

// lyshark.com

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS ntStatus;

	PEPROCESS pCurProcess = NULL;

	__try

	{

		ntStatus = PsLookupProcessByProcessId((HANDLE)272, &pCurProcess);

		if (NT_SUCCESS(ntStatus))

		{

			// 设置基地址以及长度

			ntStatus = ProcessDumps(pCurProcess, 0x140000000, 1024);

			ObDereferenceObject(pCurProcess);

		}

	}

	__except (1)

	{

		ntStatus = GetExceptionCode();

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

转存后效果如下所示:

至于导出的进程无法运行只是没有修复而已(后期会讲),可以打开看看是没错的。

驱动开发:内核中实现Dump进程转储的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  3. Linux 内核开发—内核简单介绍

    内核简单介绍 Linux 构成 Linux 为什么被划分为系统空间和内核空间 隔离核心程序和应用程序,实现对核心程序和数据的保护. 什么内核空间,用户空间 内核空间和用户空间是程序执行的两种不同的状态 ...

  4. Android系统移植与驱动开发----第一章

    第一章 Android系统移植与驱动开发 Android源代码定制完全属于自己的嵌入式系统,但是支持的设备不多,所以要移植,而在移植的过程中使用的不得不提的是驱动开发. Android系统构架主要包括 ...

  5. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  6. Window驱动开发

    驱动开发 参考文章: Windbg+Vmware驱动调试 http://blog.csdn.net/xuepiaosong/article/details/8236702 驱动调试攻略(WinDbg) ...

  7. KSM剖析——Linux 内核中的内存去耦合

    简介: 作为一个系统管理程序(hypervisor),Linux® 有几个创新,2.6.32 内核中一个有趣的变化是 KSM(Kernel Samepage Merging)  允许这个系统管理程序通 ...

  8. (转)FS_S5PC100平台上Linux Camera驱动开发详解(一) .

     平台linuxstructlinux内核videocam 说明:        理解摄像头驱动需要四个前提:        1)摄像头基本的工作原理和S5PC100集成的Camera控制器的工作原理 ...

  9. 第六周分析Linux内核创建一个新进程的过程

    潘恒 原创作品转载请注明出处<Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 task_struct结构: ...

随机推荐

  1. LeetCode题解-20.有效的括号

    题目 给定一个只包括 '(',')','{','}','[',']' 的字符串 s ,判断字符串是否有效. 有效字符串需满足: 左括号必须用相同类型的右括号闭合. 左括号必须以正确的顺序闭合. 示例 ...

  2. mysql-shell for GreatSQL 8.0.27编译安装及使用

    目录 0. 前言 1. 修改说明 2. 编译mysql-shell 2.1 环境准备 2.2 开始编译mysql & mysql-shell 2.3 利用patchelf修改mysqlsh二进 ...

  3. Hammersley采样类定义和测试

    原理参照书籍 类声明: #pragma once #ifndef __HAMMERSLEY_HEADER__ #define __HAMMERSLEY_HEADER__ #include " ...

  4. Vnc自动登录器-多国语言绿色版

    推荐:介绍一个VNC连接工具:iis7服务器管理工具.IIs7服务器管理工具可以批量连接并管理VNC服务器.作为服务器集成管理器,它最优秀的功能就是批量管理windows与linux系统服务器.vps ...

  5. Apache DolphinScheduler 使用文档(8/8):附录

    本文章经授权转载,原文链接: https://blog.csdn.net/MiaoSO/article/details/104770720 目录 附录.队列管理 附录.令牌管理 附录.队列管理 Q : ...

  6. Spring源码 14 IOC refresh方法9

    参考源 https://www.bilibili.com/video/BV1tR4y1F75R?spm_id_from=333.337.search-card.all.click https://ww ...

  7. RocketMQ保姆级教程

    大家好,我是三友~~ 上周花了一点时间从头到尾.从无到有地搭建了一套RocketMQ的环境,觉得还挺easy的,所以就写篇文章分享给大家. 整篇文章可以大致分为三个部分,第一部分属于一些核心概念和工作 ...

  8. jQuery 选择器选中某节点,在后续的链式操作函数内使用 $(this) 的结果是 Window 对象,而非该节点对象

    <ul class="tree-ocx"> <li class="tree-ocx-li" data-displayed="fals ...

  9. 截取url后缀扩展名方法

    原本使用 Path(_['video']['downloadUrl']).suffix 获取文件扩展名,没想到出错了,查明原因发现某视频链接是https://xx.xxx.xxx/xx/xxxx.mp ...

  10. Netty使用手册翻译

    前言 痛点 时至今日,我们通常会使用应用程序或第三方库去提供通信功能.比如:我们通常使用HTTP客户端库去Web服务器检索信息;通过web服务调用一个远程程序.然而,一个通用协议或者它的实现往往不能适 ...