在之前的文章Windows 回调监控 <一> 总结了关于CreateProcessNotify,CreateProcessNotifyEx和LoadImageNotify一些用法,之后产生了一个思路,既然在进程创建的时候加载.exe文件会执行我们的回调函数,那么如果在我们回调函数之中对内存中的.exe文件的导入表增加一个项,这样进程会不会加载我们事先准备好的.dll文件,如果成功加载我们的dll话,就注入成功了。

#pragma once

#include <ntifs.h>

#include <ntimage.h>

#include <WINDEF.H>

VOID WPOFF();

VOID WPON();

VOID UnloadDriver(PDRIVER_OBJECT DriverObject);

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName,HANDLE  ProcessId,PIMAGE_INFO  ImageInfor);

extern CHAR*  PsGetProcessImageFileName(PEPROCESS EProcess);

VOID UnicodeToChar(PUNICODE_STRING uniSource, CHAR *szDest);

#include "LoadImage.h"

PIMAGE_IMPORT_DESCRIPTOR g_OldImportDesc;

KIRQL Irql;

PEPROCESS g_TargetProcess;

HANDLE    g_TargetProcessId;

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegisterPath)

{

    DbgPrint("驱动加载\r\n");

    DriverObject->DriverUnload = UnloadDriver;

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);

    return STATUS_SUCCESS;

}

VOID UnloadDriver(PDRIVER_OBJECT DriverObject)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);

    DbgPrint("驱动卸载\r\n");

}

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName,HANDLE  ProcessId,PIMAGE_INFO  ImageInfor)

{

    NTSTATUS Status;

    PVOID DriverEntryAddress = NULL;

    char szFullImageName[]={};

    PEPROCESS TatgetProcess = NULL;

    KAPC_STATE apcState;

    BOOLEAN       bAttached =FALSE;

    HANDLE    hProcess;

    Status  = PsLookupProcessByProcessId(ProcessId,&TatgetProcess);

    if (!NT_SUCCESS(Status))

    {

        return ;

    }

    if (strstr(PsGetProcessImageFileName(TatgetProcess),"cc.exe")) //当前进程是cc.exe

    {

        UnicodeToChar(FullImageName,szFullImageName);

        if (strstr(szFullImageName,"cc.exe"))  //加载的是cc.exe

        {

            g_TargetProcessId = ProcessId;

            Status = ObOpenObjectByPointer(TatgetProcess,

                OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,

                NULL,

                GENERIC_ALL,

                *PsProcessType,

                KernelMode,

                &hProcess

                );

            if (!NT_SUCCESS(Status))

            {

                ObDereferenceObject(TatgetProcess);

                return;

            }

            g_TargetProcess = TatgetProcess;

            __try

            {

                //KeStackAttachProcess(TatgetProcess,&apcState);

                if (MmIsAddressValid(ImageInfor->ImageBase))

                {

                    PIMAGE_DOS_HEADER pDos;

                    PIMAGE_NT_HEADERS pHeader = NULL;

                    PIMAGE_IMPORT_DESCRIPTOR  pImportDesc;

                    //ZwUnmapViewOfSection(hProcess,ImageInfor->ImageBase);

                    ULONG nImportDllCount;

                    PVOID ulImageBase = ImageInfor->ImageBase;

                    ULONG nNewImportSize;

                    ULONG nNewDllNameSize = 0x20;

                    PIMAGE_IMPORT_DESCRIPTOR lpNewImportDesc = NULL;

                    PVOID lpDllName = NULL;

                    IMAGE_IMPORT_DESCRIPTOR Add_ImportDesc;

                    PIMAGE_THUNK_DATA        lpNewThunkData = NULL;

                    ULONG nNewThunkDataSize = 0x20;

                    PIMAGE_IMPORT_BY_NAME lpImportApi = NULL;

                    ULONG nNewImportApiSize  = 0x20;

                    pDos =(PIMAGE_DOS_HEADER) ulImageBase;

                    pHeader = (PIMAGE_NT_HEADERS)((ULONG)ulImageBase+(ULONG)pDos->e_lfanew);

                    pImportDesc  = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress \

                        + (ULONG)ulImageBase);

                    //导入表项个数

                    nImportDllCount = pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size / sizeof(IMAGE_IMPORT_DESCRIPTOR);

                    g_OldImportDesc = pImportDesc;//原始的导入表

                    nNewImportSize = sizeof(IMAGE_IMPORT_DESCRIPTOR)*(nImportDllCount+);//加上自己的

                    Status = ZwAllocateVirtualMemory(NtCurrentProcess(), &lpNewImportDesc, , &nNewImportSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpNewImportDesc,nNewImportSize);

                    Status = ZwAllocateVirtualMemory(hProcess, &lpDllName, , &nNewDllNameSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpDllName,nNewDllNameSize);

                    //ThunkData

                    Status = ZwAllocateVirtualMemory(hProcess, &lpNewThunkData, , &nNewThunkDataSize,

                        MEM_COMMIT, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpDllName,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpNewThunkData,nNewThunkDataSize);

                    //IMAGE_IMPORT_BY_NAME

                    Status = ZwAllocateVirtualMemory(hProcess, &lpImportApi, , &nNewImportApiSize,

                        MEM_COMMIT|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);

                    if (!NT_SUCCESS(Status))

                    {

                        ZwFreeVirtualMemory(hProcess,&lpNewImportDesc,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpDllName,,MEM_RELEASE);

                        ZwFreeVirtualMemory(hProcess,&lpNewThunkData,,MEM_RELEASE);

                        ObDereferenceObject(TatgetProcess);

                        ObDereferenceObject(TatgetProcess);

                        return;

                    }

                    RtlZeroMemory(lpImportApi,nNewImportApiSize);

                    //原始的导入表,留出一个表项

                    RtlCopyMemory(lpNewImportDesc+,pImportDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR)*nImportDllCount);

                    lpImportApi->Hint = ;

                    RtlCopyMemory(lpImportApi->Name,"DllMain",0x20);

                    lpNewThunkData->u1.AddressOfData = (ULONG)lpImportApi-(ULONG)ulImageBase;

                    Add_ImportDesc.OriginalFirstThunk = (ULONG)lpNewThunkData-(ULONG)ulImageBase;

                    Add_ImportDesc.TimeDateStamp = ;

                    Add_ImportDesc.ForwarderChain = ;

                    RtlCopyMemory(lpDllName,"test.dll",0x20);

                    Add_ImportDesc.Name = (ULONG)lpDllName-(ULONG)ulImageBase;

                    Add_ImportDesc.FirstThunk = Add_ImportDesc.OriginalFirstThunk;

                    RtlCopyMemory(lpNewImportDesc,&Add_ImportDesc,sizeof(IMAGE_IMPORT_DESCRIPTOR));

                    WPOFF(); //修改Descriptor

                    pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size += sizeof(IMAGE_IMPORT_DESCRIPTOR);

                    pHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress = (ULONG_PTR)lpNewImportDesc - (ULONG_PTR)ulImageBase;

                    WPON();

                }

                //KeUnstackDetachProcess(&apcState);

            }__except(EXCEPTION_EXECUTE_HANDLER){

            }

            ObDereferenceObject(TatgetProcess);

        }

    }

    ObDereferenceObject(TatgetProcess);

}

VOID WPOFF()

{

    ULONG_PTR cr0 = ;

    Irql = KeRaiseIrqlToDpcLevel();

    cr0 =__readcr0();

    cr0 &= 0xfffffffffffeffff;

    __writecr0(cr0);

}

VOID WPON()

{

    ULONG_PTR cr0=__readcr0();

    cr0 |= 0x10000;

    __writecr0(cr0);

    KeLowerIrql(Irql);

}

VOID UnicodeToChar(PUNICODE_STRING uniSource, CHAR *szDest)

{

    ANSI_STRING ansiTemp;

    RtlUnicodeStringToAnsiString(&ansiTemp,uniSource,TRUE);   

    strcpy(szDest,ansiTemp.Buffer);

    RtlFreeAnsiString(&ansiTemp);

}

Windows 回调监控 <二>的更多相关文章

  1. Windows 回调监控 <一>

    在x86的体系结构中,我们常用hook关键的系统调用来达到对系统的监控,但是对于x64的结构,因为有PatchGuard的存在,对于一些系统关键点进行hook是很不稳定的,在很大几率上会导致蓝屏的发生 ...

  2. paip.windows io监控总结

    paip.windows io监控总结 io的主要参数是个.disk queue length 作者Attilax  艾龙,  EMAIL:1466519819@qq.com 来源:attilax的专 ...

  3. C# Windows IPSEC监控(仅此一家,别无分店)

    Windows IPSEC监控,使用C#编写,输出为一行字符串,可以按照既有IPSEC规则生成模板 using System; using System.Diagnostics; using Syst ...

  4. windows 进程监控 Procmon.exe

    windows 进程监控 Procmon.exe window下一个程序打开太慢,可以用此程序监控.在哪一步慢了,读取文件还是注册表. ProcessMonitor3.2 Process Monito ...

  5. Windows性能计数器监控实践

    Windows性能计数器(Performance Counter)是Windows提供的一种系统功能,它能实时采集.分析系统内的应用程序.服务.驱动程序等的性能数据,以此来分析系统的瓶颈.监控组件的表 ...

  6. python对 windows系统监控插件

    在python编程的windows系统监控中,需要监控监控硬件信息需要两个模块:WMI 和 pypiwin32 .

  7. Win64 驱动内核编程-15.回调监控注册表

    回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...

  8. Win64 驱动内核编程-14.回调监控文件

    回调监控文件 使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视.但可惜只能在 WIN7X64 上用.因为在 WIN7X64 上 P ...

  9. Win64 驱动内核编程-12.回调监控进线程创建和退出

    回调监控进线程创建和退出 两个注册回调的函数:PsSetCreateProcessNotifyRoutine   进程回调PsSetCreateThreadNotifyRoutine    线程回调分 ...

随机推荐

  1. 常用gradle命令

    1.build.gradle ext { profile = "dev" tag='web' if (project.hasProperty('pro')) { temp = pr ...

  2. Centos 安装 p7zip,即Linux下的7z

    Centos 无法直接通过yum安装7z,我们一般通过repoforge,rpmforge的软件包进行安装,你只需要下载一个对应的包,直接安装就可以 p7zip-9.20.1-1.el4.rf.i38 ...

  3. C#泛型集合之Dictionary<k, v>使用技巧

    1.要使用Dictionary集合,需要导入C#泛型命名空间 System.Collections.Generic(程序集:mscorlib) 2.描述 1).从一组键(Key)到一组值(Value) ...

  4. Android实现简单音乐播放器(MediaPlayer)

    Android实现简单音乐播放器(MediaPlayer) 开发工具:Andorid Studio 1.3 运行环境:Android 4.4 KitKat 工程内容 实现一个简单的音乐播放器,要求功能 ...

  5. LC_ALL=C

    设置LC_ALL=C,可以让sort按照字节排序;

  6. 如何向VS2010中插入ActiveX控件并且附带相应的类

    上两篇文章中我们已经讲述了ActiveX控件的一些相关知识,本文中,简单说明一下如何在我们自己的程序中使用ActiveX控件.(仍以我们上节课的例子为例) 我们打开VS2010编辑器,新建一个基于对话 ...

  7. 20145120 《Java程序设计》第9周学习总结

    20145120 <Java程序设计>第9周学习总结 教材学习内容总结 JDBC希望程序能操作所有数据库 操作JDBC驱动有4种类型: JDBC-ODBC Bridge Driver Na ...

  8. 【每日scrum】NO.7

    Yesterday:学习和设计路线的编程 Today:编写代码 Problem:.在设计查询参观路线的时候,整个逻辑特别的混乱,设想了各种树,图以及网的遍历问题,但经过多次与同学的交流以及网上的查询资 ...

  9. github 使用体会

    开始使用git: 在本机上安装git,听一些同学说他们当时用的是github的中文版即oschina开源中国,似乎操作更加简便一些,还可以安装tortoisegit,是一个gui界面.不过我想用习惯了 ...

  10. Spring MVC常用的注解类

    一.注解类配置 要使用springmvc的注解类,需要在springmvc.xml配置文件中用context:component-scan/扫描:  二.五大重要的注解类 1.RequestMapp ...