在笔者上一篇文章《内核监视LoadImage映像回调》LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注意我这里用的是监视而不是监控之所以是监视而不是监控那是因为PsSetLoadImageNotifyRoutine无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下LyShark将解密如何实现屏蔽特定驱动的加载。

要想实现驱动屏蔽其原理很简单,通过ImageInfo->ImageBase得到镜像基地址,然后调用GetDriverEntryByImageBase函数来得到程序的入口地址,找NT头的OptionalHeader节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入ret返回指令,即可实现屏蔽加载特定驱动文件。

原理其实很容易理解,如果我们需要实现则只需要在《内核监视LoadImage映像回调》这篇文章的代码上稍加改进即可,当检测到lyshark.sys驱动加载时,直接跳转到入口处快速写入一个Ret让驱动返回即可,至于如何写出指令的问题如果不懂建议回头看看《内核CR3切换读写内存》文章中是如何读写内存的,这段代码实现如下所示。

#include <ntddk.h>

#include <intrin.h>

#include <ntimage.h>

PVOID GetDriverEntryByImageBase(PVOID ImageBase)

{

    PIMAGE_DOS_HEADER pDOSHeader;

    PIMAGE_NT_HEADERS64 pNTHeader;

    PVOID pEntryPoint;

    pDOSHeader = (PIMAGE_DOS_HEADER)ImageBase;

    pNTHeader = (PIMAGE_NT_HEADERS64)((ULONG64)ImageBase + pDOSHeader->e_lfanew);

    pEntryPoint = (PVOID)((ULONG64)ImageBase + pNTHeader->OptionalHeader.AddressOfEntryPoint);

    return pEntryPoint;

}

VOID UnicodeToChar(PUNICODE_STRING dst, char *src)

{

    ANSI_STRING string;

    RtlUnicodeStringToAnsiString(&string, dst, TRUE);

    strcpy(src, string.Buffer);

    RtlFreeAnsiString(&string);

}

// 使用开关写保护需要在[C/C++]->[优化]->启用内部函数

// 关闭写保护

KIRQL  WPOFFx64()

{

    KIRQL  irql = KeRaiseIrqlToDpcLevel();

    UINT64  cr0 = __readcr0();

    cr0 &= 0xfffffffffffeffff;

    _disable();

    __writecr0(cr0);

    return  irql;

}

// 开启写保护

void  WPONx64(KIRQL  irql)

{

    UINT64  cr0 = __readcr0();

    cr0 |= 0x10000;

    _enable();

    __writecr0(cr0);

    KeLowerIrql(irql);

}

BOOLEAN DenyLoadDriver(PVOID DriverEntry)

{

    UCHAR fuck[] = "\xB8\x22\x00\x00\xC0\xC3";

    KIRQL kirql;

    /* 在模块开头写入以下汇编指令

    Mov eax,c0000022h

    ret

    */

    if (DriverEntry == NULL) return FALSE;

    kirql = WPOFFx64();

    memcpy(DriverEntry, fuck, sizeof(fuck) / sizeof(fuck[0]));

    WPONx64(kirql);

    return TRUE;

}

VOID MyLySharkComLoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ModuleStyle, PIMAGE_INFO ImageInfo)

{

    PVOID pDrvEntry;

    char szFullImageName[256] = { 0 };

    // MmIsAddress 验证地址可用性

    if (FullImageName != NULL && MmIsAddressValid(FullImageName))

    {

        // ModuleStyle为零表示加载sys

        if (ModuleStyle == 0)

        {

            pDrvEntry = GetDriverEntryByImageBase(ImageInfo->ImageBase);

            UnicodeToChar(FullImageName, szFullImageName);

            if (strstr(_strlwr(szFullImageName), "lyshark.sys"))

            {

                DbgPrint("[LyShark] 拦截SYS内核模块:%s", szFullImageName);

                DenyLoadDriver(pDrvEntry);

            }

        }

    }

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)MyLySharkComLoadImageNotifyRoutine);

    DbgPrint("驱动卸载完成...");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)MyLySharkComLoadImageNotifyRoutine);

    DbgPrint("驱动加载完成...");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

首先运行我们的驱动,然后我们接着加载lyshark.sys则你会发现驱动被拦截了。

我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。

除了使用Ret强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用MmUnmapViewOfSection函数强制卸载掉即可,如果使用这种方法实现则这段代码需要改进成如下样子。

#include <ntifs.h>

#include <ntimage.h>

#include <intrin.h>

NTSTATUS MmUnmapViewOfSection(PEPROCESS Process, PVOID BaseAddress);

NTSTATUS SetNotifyRoutine();

NTSTATUS RemoveNotifyRoutine();

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ProcessId, PIMAGE_INFO ImageInfo);

NTSTATUS U2C(PUNICODE_STRING pustrSrc, PCHAR pszDest, ULONG ulDestLength);

VOID ThreadProc(_In_ PVOID StartContext);

// 拒绝加载驱动

NTSTATUS DenyLoadDriver(PVOID pImageBase);

// 拒绝加载DLL模块

NTSTATUS DenyLoadDll(HANDLE ProcessId, PVOID pImageBase);

typedef struct _MY_DATA

{

    HANDLE ProcessId;

    PVOID pImageBase;

}MY_DATA, *PMY_DATA;

// 设置消息回调

NTSTATUS SetNotifyRoutine()

{

    NTSTATUS status = STATUS_SUCCESS;

    status = PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);

    return status;

}

// 关闭消息回调

NTSTATUS RemoveNotifyRoutine()

{

    NTSTATUS status = STATUS_SUCCESS;

    status = PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);

    return status;

}

VOID LoadImageNotifyRoutine(PUNICODE_STRING FullImageName, HANDLE ProcessId, PIMAGE_INFO ImageInfo)

{

    DbgPrint("PID: %d --> 完整路径: %wZ --> 大小: %d --> 基地址: 0x%p \n", ProcessId, FullImageName, ImageInfo->ImageSize, ImageInfo->ImageBase);

    HANDLE hThread = NULL;

    CHAR szTemp[1024] = { 0 };

    U2C(FullImageName, szTemp, 1024);

    if (NULL != strstr(szTemp, "lyshark.sys"))

    {

        // EXE或者DLL

        if (0 != ProcessId)

        {

            // 创建多线程 延时1秒钟后再卸载模块

            PMY_DATA pMyData = ExAllocatePool(NonPagedPool, sizeof(MY_DATA));

            pMyData->ProcessId = ProcessId;

            pMyData->pImageBase = ImageInfo->ImageBase;

            PsCreateSystemThread(&hThread, 0, NULL, NtCurrentProcess(), NULL, ThreadProc, pMyData);

            DbgPrint("[LyShark] 禁止加载DLL文件 \n");

        }

        // 驱动

        else

        {

            DenyLoadDriver(ImageInfo->ImageBase);

            DbgPrint("[LyShark] 禁止加载SYS驱动文件 \n");

        }

    }

}

// 拒绝加载驱动

NTSTATUS DenyLoadDriver(PVOID pImageBase)

{

    NTSTATUS status = STATUS_SUCCESS;

    PMDL pMdl = NULL;

    PVOID pVoid = NULL;

    ULONG ulShellcodeLength = 16;

    UCHAR pShellcode[16] = { 0xB8, 0x22, 0x00, 0x00, 0xC0, 0xC3, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90 };

    PIMAGE_DOS_HEADER pDosHeader = pImageBase;

    PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);

    PVOID pDriverEntry = (PVOID)((PUCHAR)pDosHeader + pNtHeaders->OptionalHeader.AddressOfEntryPoint);

    pMdl = MmCreateMdl(NULL, pDriverEntry, ulShellcodeLength);

    MmBuildMdlForNonPagedPool(pMdl);

    pVoid = MmMapLockedPages(pMdl, KernelMode);

    RtlCopyMemory(pVoid, pShellcode, ulShellcodeLength);

    MmUnmapLockedPages(pVoid, pMdl);

    IoFreeMdl(pMdl);

    return status;

}

// 调用 MmUnmapViewOfSection 函数来卸载已经加载的 DLL 模块

NTSTATUS DenyLoadDll(HANDLE ProcessId, PVOID pImageBase)

{

    NTSTATUS status = STATUS_SUCCESS;

    PEPROCESS pEProcess = NULL;

    status = PsLookupProcessByProcessId(ProcessId, &pEProcess);

    if (!NT_SUCCESS(status))

    {

        return status;

    }

    // 卸载模块

    status = MmUnmapViewOfSection(pEProcess, pImageBase);

    if (!NT_SUCCESS(status))

    {

        return status;

    }

    return status;

}

VOID ThreadProc(_In_ PVOID StartContext)

{

    PMY_DATA pMyData = (PMY_DATA)StartContext;

    LARGE_INTEGER liTime = { 0 };

    // 延时 1 秒 负值表示相对时间

    liTime.QuadPart = -10 * 1000 * 1000;

    KeDelayExecutionThread(KernelMode, FALSE, &liTime);

    // 卸载

    DenyLoadDll(pMyData->ProcessId, pMyData->pImageBase);

    ExFreePool(pMyData);

}

NTSTATUS U2C(PUNICODE_STRING pustrSrc, PCHAR pszDest, ULONG ulDestLength)

{

    NTSTATUS status = STATUS_SUCCESS;

    ANSI_STRING strTemp;

    RtlZeroMemory(pszDest, ulDestLength);

    RtlUnicodeStringToAnsiString(&strTemp, pustrSrc, TRUE);

    if (ulDestLength > strTemp.Length)

    {

        RtlCopyMemory(pszDest, strTemp.Buffer, strTemp.Length);

    }

    RtlFreeAnsiString(&strTemp);

    return status;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    PsRemoveLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)RemoveNotifyRoutine);

    DbgPrint("驱动卸载完成...");

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark.ocm \n");

    PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)SetNotifyRoutine);

    DbgPrint("驱动加载完成...");

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。

当然用LoadImage回调做监控并不靠谱,因为它很容易被绕过,其实系统里存在一个开关,叫做PspNotifyEnableMask如果它的值被设置为0,那么所有的相关操作都不会经过回调,所有回调都会失效。

7.4 Windows驱动开发:内核运用LoadImage屏蔽驱动的更多相关文章

  1. 驱动开发:内核运用LoadImage屏蔽驱动

    在笔者上一篇文章<驱动开发:内核监视LoadImage映像回调>中LyShark简单介绍了如何通过PsSetLoadImageNotifyRoutine函数注册回调来监视驱动模块的加载,注 ...

  2. 驱动开发:配置Visual Studio驱动开发环境

    在正式开始驱动开发之前,需要自行搭建驱动开发的必要环境,首先我们需要安装Visual Studio 2013这款功能强大的程序开发工具,在课件内请双击ISO文件并运行内部的vs_ultimate.ex ...

  3. Windows驱动程序开发基础(四)驱动的编译调试和安装

    Windows驱动程序开发基础,转载标明出处:http://blog.csdn.net/ikerpeng/article/details/38793995 以下说一下开发出来驱动程序以后怎样编译.一般 ...

  4. (57)Linux驱动开发之三Linux字符设备驱动

    1.一般情况下,对每一种设备驱动都会定义一个软件模块,这个工程模块包含.h和.c文件,前者定义该设备驱动的数据结构并声明外部函数,后者进行设备驱动的具体实现. 2.典型的无操作系统下的逻辑开发程序是: ...

  5. usb驱动开发4之总线设备驱动模型

    在上文说usb_init函数,却给我们留下了很多岔路口.这次就来好好聊聊关于总线设备驱动模型.这节只讲理论,不讲其中的函数方法,关于函数方法使用参考其他资料. 总线.设备.驱动对应内核结构体分别为bu ...

  6. Android系统移植与驱动开发——第七章——LED驱动

    LED驱动的实现原理 编写LED驱动: 测试LED驱动之前需要用USB数据线连接开发板,然后打开电源,成功启动之后,执行build.sh脚本文件编译和安装LED驱动,顺利则会自动连接 如果有多个设备文 ...

  7. 【Spring注解驱动开发】聊聊Spring注解驱动开发那些事儿!

    写在前面 今天,面了一个工作5年的小伙伴,面试结果不理想啊!也不是我说,工作5年了,问多线程的知识:就只知道继承Thread类和实现Runnable接口!问Java集合,竟然说HashMap是线程安全 ...

  8. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  9. 嵌入式驱动开发之---Linux ALSA音频驱动(一)

    本文的部分内容参考来自DroidPhone的博客(http://blog.csdn.net/droidphone/article/details/6271122),关于ALSA写得很不错的文章,只是少 ...

  10. Linux设备驱动开发基础--阻塞型设备驱动

    1. 当一个设备无法立刻满足用户的读写请求时(例如调用read时,设备没有数据提供),驱动程序应当(缺省的)阻塞进程,使它进入等待(睡眠)状态,知道请求可以得到满足. 2. Linux内核等待队列:在 ...

随机推荐

  1. Python中节省内存的方法之一:__slots__属性

    Python是一门动态语言,可以在运行过程中,修改实例的属性和增删方法.任何实例都包含一个字典__dict__,该字典保存了实例所有的属性和方法.Python也通过这个字典可以将任意属性绑定到实例上. ...

  2. 一、redis单例安装(linux)

    系列导航 一.redis单例安装(linux) 二.redis主从环境搭建 三.redis集群搭建 四.redis增加密码验证 五.java操作redis 环境:centos7.5需要的安装包: re ...

  3. poi 4.11版本 word模板操作

    写代码之前先说说遇到的问题,之前word模板是使用poi 3.9的包实现的,之后又写了exlce上传下载的功能使用的是poi 4.11的版本,他们之间融合的时候发现包冲突,总有一个功能不能使用,之后发 ...

  4. vue学习笔记 二、环境搭建+项目创建

    系列导航 vue学习笔记 一.环境搭建 vue学习笔记 二.环境搭建+项目创建 vue学习笔记 三.文件和目录结构 vue学习笔记 四.定义组件(组件基本结构) vue学习笔记 五.创建子组件实例 v ...

  5. freeswitch服务器的时间同步设置

    概述 在生产环境中,一般会有N台freeswitch 服务器,不同服务器之间的信令和话单的时间不能相差太多,否则对查找和定位问题会造成一定的困扰. 同时,freeswitch的默认运行设置并未直接使用 ...

  6. feign接口自动生成工具

    最近发现开发spring cloud时,编写feign接口是一件痛苦的事,不仅要编写feign接口,还有fallback.请求参数和返回值等,大量重复工作,很浪费时间. 于是便想到可以编写工具自动生成 ...

  7. 【滤波】Kalman Filter

    from: 卡尔曼滤波教程 (kalmanfilter.net) 总览 关于本教程 关于作者 关于卡尔曼滤波 为什么需要预测算法 卡尔曼滤波简介 必要的背景知识 均值和期望 方差和标准差 正态分布 随 ...

  8. 【TouchGFX】MVP 示例分析

    控制流 数据流 硬按键改变View界面内容 backend --> model --> presenter --> view    View button 控制电路板LED亮灭 vi ...

  9. [转帖]可能是最完整的 TCP 连接健康指标工具 ss 的说明

    https://blog.mygraphql.com/zh/notes/low-tec/network/tcp-inspect/ 写在前面 TCP 连接健康的重要性 如何查看 TCP 连接健康 容器化 ...

  10. [转帖]容器环境的JVM内存设置最佳实践

    https://cloud.tencent.com/developer/article/1585288 Docker和K8S的兴起,很多服务已经运行在容器环境,对于java程序,JVM设置是一个重要的 ...