在笔者上一篇文章《内核监视LoadImage映像回调》LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注意我这里用的是监视而不是监控之所以是监视而不是监控那是因为PsSetLoadImageNotifyRoutine无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下LyShark将解密如何实现屏蔽特定驱动的加载。

要想实现驱动屏蔽其原理很简单,通过ImageInfo->ImageBase得到镜像基地址,然后调用GetDriverEntryByImageBase函数来得到程序的入口地址,找NT头的OptionalHeader节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入ret返回指令,即可实现屏蔽加载特定驱动文件。

原理其实很容易理解,如果我们需要实现则只需要在《内核监视LoadImage映像回调》这篇文章的代码上稍加改进即可,当检测到lyshark.sys驱动加载时,直接跳转到入口处快速写入一个Ret让驱动返回即可,至于如何写出指令的问题如果不懂建议回头看看《内核CR3切换读写内存》文章中是如何读写内存的,这段代码实现如下所示。

#include <ntddk.h>

#include <intrin.h>

#include <ntimage.h>

PVOID GetDriverEntryByImageBase(PVOID ImageBase)

{

    PIMAGE_DOS_HEADER pDOSHeader;

    PIMAGE_NT_HEADERS64 pNTHeader;

    PVOID pEntryPoint;

    pDOSHeader = (PIMAGE_DOS_HEADER)ImageBase;

    pNTHeader = (PIMAGE_NT_HEADERS64)((ULONG64)ImageBase + pDOSHeader->e_lfanew);

    pEntryPoint = (PVOID)((ULONG64)ImageBase + pNTHeader->OptionalHeader.AddressOfEntryPoint);

    return pEntryPoint;

}

VOID UnicodeToChar(PUNICODE_STRING dst, char *src)

{

    ANSI_STRING string;

    RtlUnicodeStringToAnsiString(&string, dst, TRUE);

    strcpy(src, string.Buffer);

    RtlFreeAnsiString(&string);

}

// 使用开关写保护需要在[C/C++]->[优化]->启用内部函数

// 关闭写保护

KIRQL  WPOFFx64()

{

    KIRQL  irql = KeRaiseIrqlToDpcLevel();

    UINT64  cr0 = __readcr0();

    cr0 &= 0xfffffffffffeffff;

    _disable();

    __writecr0(cr0);

    return  irql;

}

// 开启写保护

void  WPONx64(KIRQL  irql)

{

    UINT64  cr0 = __readcr0();

    cr0 |= 0x10000;

    _enable();

    __writecr0(cr0);

    KeLowerIrql(irql);

}

BOOLEAN DenyLoadDriver(PVOID DriverEntry)

{

    UCHAR fuck[] = "\xB8\x22\x00\x00\xC0\xC3";

    KIRQL kirql;

    /* 在模块开头写入以下汇编指令

    Mov eax,c0000022h

    ret

    */

    if (DriverEntry == NULL) return FALSE;

    kirql = WPOFFx64();

    memcpy(DriverEntry, fuck, sizeof(fuck) / sizeof(fuck[0]));

    WPONx64(kirql);

    return TRUE;

}

VOID MyLySharkComLoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ModuleStyle, PIMAGE_INFO ImageInfo)

{

    PVOID pDrvEntry;

    char szFullImageName[256] = { 0 };

    // MmIsAddress 验证地址可用性

    if (FullImageName != NULL && MmIsAddressValid(FullImageName))

    {

        // ModuleStyle为零表示加载sys

        if (ModuleStyle == 0)

        {

            pDrvEntry = GetDriverEntryByImageBase(ImageInfo->ImageBase);

            UnicodeToChar(FullImageName, szFullImageName);

            if (strstr(_strlwr(szFullImageName), "lyshark.sys"))

            {

                DbgPrint("[LyShark] 拦截SYS内核模块:%s", szFullImageName);

                DenyLoadDriver(pDrvEntry);

            }

        }

    }

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)MyLySharkComLoadImageNotifyRoutine);

    DbgPrint("驱动卸载完成...");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)MyLySharkComLoadImageNotifyRoutine);

    DbgPrint("驱动加载完成...");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

首先运行我们的驱动,然后我们接着加载lyshark.sys则你会发现驱动被拦截了。

我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。

除了使用Ret强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用MmUnmapViewOfSection函数强制卸载掉即可,如果使用这种方法实现则这段代码需要改进成如下样子。

#include <ntifs.h>

#include <ntimage.h>

#include <intrin.h>

NTSTATUS MmUnmapViewOfSection(PEPROCESS Process, PVOID BaseAddress);

NTSTATUS SetNotifyRoutine();

NTSTATUS RemoveNotifyRoutine();

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ProcessId, PIMAGE_INFO ImageInfo);

NTSTATUS U2C(PUNICODE_STRING pustrSrc, PCHAR pszDest, ULONG ulDestLength);

VOID ThreadProc(_In_ PVOID StartContext);

// 拒绝加载驱动

NTSTATUS DenyLoadDriver(PVOID pImageBase);

// 拒绝加载DLL模块

NTSTATUS DenyLoadDll(HANDLE ProcessId, PVOID pImageBase);

typedef struct _MY_DATA

{

    HANDLE ProcessId;

    PVOID pImageBase;

}MY_DATA, *PMY_DATA;

// 设置消息回调

NTSTATUS SetNotifyRoutine()

{

    NTSTATUS status = STATUS_SUCCESS;

    status = PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);

    return status;

}

// 关闭消息回调

NTSTATUS RemoveNotifyRoutine()

{

    NTSTATUS status = STATUS_SUCCESS;

    status = PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);

    return status;

}

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ProcessId, PIMAGE_INFO ImageInfo)

{

    DbgPrint("PID: %d --> 完整路径: %wZ --> 大小: %d --> 基地址: 0x%p \n", ProcessId, FullImageName, ImageInfo->ImageSize, ImageInfo->ImageBase);

    HANDLE hThread = NULL;

    CHAR szTemp[1024] = { 0 };

    U2C(FullImageName, szTemp, 1024);

    if (NULL != strstr(szTemp, "lyshark.sys"))

    {

        // EXE或者DLL

        if (0 != ProcessId)

        {

            // 创建多线程 延时1秒钟后再卸载模块

            PMY_DATA pMyData = ExAllocatePool(NonPagedPool, sizeof(MY_DATA));

            pMyData->ProcessId = ProcessId;

            pMyData->pImageBase = ImageInfo->ImageBase;

            PsCreateSystemThread(&hThread, 0, NULL, NtCurrentProcess(), NULL, ThreadProc, pMyData);

            DbgPrint("[LyShark] 禁止加载DLL文件 \n");

        }

        // 驱动

        else

        {

            DenyLoadDriver(ImageInfo->ImageBase);

            DbgPrint("[LyShark] 禁止加载SYS驱动文件 \n");

        }

    }

}

// 拒绝加载驱动

NTSTATUS DenyLoadDriver(PVOID pImageBase)

{

    NTSTATUS status = STATUS_SUCCESS;

    PMDL pMdl = NULL;

    PVOID pVoid = NULL;

    ULONG ulShellcodeLength = 16;

    UCHAR pShellcode[16] = { 0xB8, 0x22, 0x00, 0x00, 0xC0, 0xC3, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90 };

    PIMAGE_DOS_HEADER pDosHeader = pImageBase;

    PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);

    PVOID pDriverEntry = (PVOID)((PUCHAR)pDosHeader + pNtHeaders->OptionalHeader.AddressOfEntryPoint);

    pMdl = MmCreateMdl(NULL, pDriverEntry, ulShellcodeLength);

    MmBuildMdlForNonPagedPool(pMdl);

    pVoid = MmMapLockedPages(pMdl, KernelMode);

    RtlCopyMemory(pVoid, pShellcode, ulShellcodeLength);

    MmUnmapLockedPages(pVoid, pMdl);

    IoFreeMdl(pMdl);

    return status;

}

// 调用 MmUnmapViewOfSection 函数来卸载已经加载的 DLL 模块

NTSTATUS DenyLoadDll(HANDLE ProcessId, PVOID pImageBase)

{

    NTSTATUS status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    status = PsLookupProcessByProcessId(ProcessId, &pEProcess);

    if (!NT_SUCCESS(status))

    {

        return status;

    }

    // 卸载模块

    status = MmUnmapViewOfSection(pEProcess, pImageBase);

    if (!NT_SUCCESS(status))

    {

        return status;

    }

    return status;

}

VOID ThreadProc(_In_ PVOID StartContext)

{

    PMY_DATA pMyData = (PMY_DATA)StartContext;

    LARGE_INTEGER liTime = { 0 };

    // 延时 1 秒 负值表示相对时间

    liTime.QuadPart = -10 * 1000 * 1000;

    KeDelayExecutionThread(KernelMode, FALSE, &liTime);

    // 卸载

    DenyLoadDll(pMyData->ProcessId, pMyData->pImageBase);

    ExFreePool(pMyData);

}

NTSTATUS U2C(PUNICODE_STRING pustrSrc, PCHAR pszDest, ULONG ulDestLength)

{

    NTSTATUS status = STATUS_SUCCESS;

    ANSI_STRING strTemp;

    RtlZeroMemory(pszDest, ulDestLength);

    RtlUnicodeStringToAnsiString(&strTemp, pustrSrc, TRUE);

    if (ulDestLength > strTemp.Length)

    {

        RtlCopyMemory(pszDest, strTemp.Buffer, strTemp.Length);

    }

    RtlFreeAnsiString(&strTemp);

    return status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)RemoveNotifyRoutine);

    DbgPrint("驱动卸载完成...");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark.ocm \n");

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)SetNotifyRoutine);

    DbgPrint("驱动加载完成...");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。

当然用LoadImage回调做监控并不靠谱,因为它很容易被绕过,其实系统里存在一个开关,叫做PspNotifyEnableMask如果它的值被设置为0,那么所有的相关操作都不会经过回调,所有回调都会失效。

7.4 Windows驱动开发:内核运用LoadImage屏蔽驱动的更多相关文章

  1. 驱动开发:内核运用LoadImage屏蔽驱动

    在笔者上一篇文章<驱动开发:内核监视LoadImage映像回调>中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注 ...

  2. 驱动开发:配置Visual Studio驱动开发环境

    在正式开始驱动开发之前,需要自行搭建驱动开发的必要环境,首先我们需要安装Visual Studio 2013这款功能强大的程序开发工具,在课件内请双击ISO文件并运行内部的vs_ultimate.ex ...

  3. Windows驱动程序开发基础(四)驱动的编译调试和安装

    Windows驱动程序开发基础,转载标明出处:http://blog.csdn.net/ikerpeng/article/details/38793995 以下说一下开发出来驱动程序以后怎样编译.一般 ...

  4. (57)Linux驱动开发之三Linux字符设备驱动

    1.一般情况下,对每一种设备驱动都会定义一个软件模块,这个工程模块包含.h和.c文件,前者定义该设备驱动的数据结构并声明外部函数,后者进行设备驱动的具体实现. 2.典型的无操作系统下的逻辑开发程序是: ...

  5. usb驱动开发4之总线设备驱动模型

    在上文说usb_init函数,却给我们留下了很多岔路口.这次就来好好聊聊关于总线设备驱动模型.这节只讲理论,不讲其中的函数方法,关于函数方法使用参考其他资料. 总线.设备.驱动对应内核结构体分别为bu ...

  6. Android系统移植与驱动开发——第七章——LED驱动

    LED驱动的实现原理 编写LED驱动: 测试LED驱动之前需要用USB数据线连接开发板,然后打开电源,成功启动之后,执行build.sh脚本文件编译和安装LED驱动,顺利则会自动连接 如果有多个设备文 ...

  7. 【Spring注解驱动开发】聊聊Spring注解驱动开发那些事儿!

    写在前面 今天,面了一个工作5年的小伙伴,面试结果不理想啊!也不是我说,工作5年了,问多线程的知识:就只知道继承Thread类和实现Runnable接口!问Java集合,竟然说HashMap是线程安全 ...

  8. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  9. 嵌入式驱动开发之---Linux ALSA音频驱动(一)

    本文的部分内容参考来自DroidPhone的博客(http://blog.csdn.net/droidphone/article/details/6271122),关于ALSA写得很不错的文章,只是少 ...

  10. Linux设备驱动开发基础--阻塞型设备驱动

    1. 当一个设备无法立刻满足用户的读写请求时(例如调用read时,设备没有数据提供),驱动程序应当(缺省的)阻塞进程,使它进入等待(睡眠)状态,知道请求可以得到满足. 2. Linux内核等待队列:在 ...

随机推荐

  1. Prometheus--PromQL

    官方文档:https://prometheus.io/docs/introduction/overview/  中文文档:https://prometheus.fuckcloudnative.io/ ...

  2. VS遇到 error C4996问题的解决方法

    在编译c++程序时报如下错: error C4996: 'strncat': This function or variable may be unsafe. Consider using strnc ...

  3. AtCoder ABC 165 D - Floor Function (Good, 手动模拟推出公式)

    题目链接:Here 题意: 给出正整数 \(A,B,N (1\le A\le 1e6,1\le B,N\le1e12)\) ,对于 \(x\in [0,N]\) 求出 \(\left\lfloor\f ...

  4. Codeforces Round #565 (Div. 3) (重现赛个人题解)

    1176A. Divide it! 题目链接:http://codeforces.com/problemset/problem/1176/A 题意: 给定一个数字 \(n\) 和三种操作 如果 n 能 ...

  5. 传统单节点网站的 Serverless 上云

    什么是函数?刚刚考完数学没多久的我,脑里立马想到的是自变量.因变量.函数值,也就是y=f(x).当然,在计算机里,函数function往往指的是一段被定义好的代码程序,我们可以通过传参调用这个定义好的 ...

  6. 2、springboot创建多模块工程

    系列导航 springBoot项目打jar包 1.springboot工程新建(单模块) 2.springboot创建多模块工程 3.springboot连接数据库 4.SpringBoot连接数据库 ...

  7. fetch与axios

  8. 每天学五分钟 Liunx 110 | 存储篇:RAID

    RAID RAID 是廉价磁盘冗余阵列(Redundant Array of Inexpensive Disks)的意思.通过它可以将较小的磁盘组成较大的磁盘.   RAID 模式 RAID 有几种模 ...

  9. 解决 idea maven plugins 报红波浪线

    导入新项目到 idea 的时候,由于依赖的环境以及项目中 maven 编译所依赖的pom的版本不同,很多时候导入到idea的时候 maven Plugins 会出现报红的情况,这是由于maven仓库中 ...

  10. 同步FIFO设计

    FIFO有一个读口和一个写口,读写时钟一致是同步FIFO,时钟不一致就是异步FIFO IP设计中通常使用的是同步FIFO 异步FIFO通常使用在跨时钟域设计中 RAM(Random Access Me ...