程序博客网 > 新媒体运营 知乎

监控系统加载模块-猥琐流

来源:互联网 发布:新媒体运营 知乎 编辑:程序博客网 时间:2024/04/29 04:17
代码:
#include <ntddk.h>#include "nt_help.h"DRIVER_INITIALIZE DriverEntry;typedef struct _OBJECT_TYPE_INITIALIZER {    USHORT Length;    BOOLEAN UseDefaultObject;    BOOLEAN CaseInsensitive;#if WINVER>=0x0600    ULONG ObjectTypeCode;#endif    ULONG InvalidAttributes;    GENERIC_MAPPING GenericMapping;    ULONG ValidAccessMask;    BOOLEAN SecurityRequired;    BOOLEAN MaintainHandleCount;    BOOLEAN MaintainTypeList;    POOL_TYPE PoolType;    ULONG DefaultPagedPoolCharge;    ULONG DefaultNonPagedPoolCharge;    PVOID DumpProcedure;    PVOID OpenProcedure;    PVOID CloseProcedure;    PVOID DeleteProcedure;    PVOID ParseProcedure;    PVOID SecurityProcedure;    PVOID QueryNameProcedure;    PVOID OkayToCloseProcedure;} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;typedef struct _OBJECT_TYPE {#if WINVER<0x0600    ERESOURCE Mutex;#endif    LIST_ENTRY TypeList;    UNICODE_STRING Name;            // Copy from object header for convenience    PVOID DefaultObject;    ULONG Index;    ULONG TotalNumberOfObjects;    ULONG TotalNumberOfHandles;    ULONG HighWaterNumberOfObjects;    ULONG HighWaterNumberOfHandles;    OBJECT_TYPE_INITIALIZER TypeInfo;} OBJECT_TYPE, *POBJECT_TYPE;extern POBJECT_TYPE* MmSectionObjectType;PVOID pNtCreateSection = NULL;SYSTEM_MODULE_INFORMATION ntModInfo = {0};#pragma alloc_text(INIT, DriverEntry)NTSTATUS DevicePassthrough(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp){        NTSTATUS status = STATUS_SUCCESS;        PIO_STACK_LOCATION  irpSp;                irpSp = IoGetCurrentIrpStackLocation(Irp);        Irp->IoStatus.Status = status;        IoCompleteRequest(Irp, IO_NO_INCREMENT);        return status;}VOID DriverUnload (IN PDRIVER_OBJECT DriverObject){        (*MmSectionObjectType)->TypeInfo.OpenProcedure = NULL;        KdPrint(("DriverUnload Done!\n"));}#if WINVER>=0x0600NTSTATUS HookSectionOpen(    IN ULONG OpenReason,    IN ULONG AccessMode,    IN PEPROCESS Process OPTIONAL,    IN PVOID Object,    IN ACCESS_MASK* GrantedAccess,    IN ULONG HandleCount    )#elseNTSTATUS HookSectionOpen(    IN ULONG OpenReason,    IN PEPROCESS Process OPTIONAL,    IN PVOID Object,    IN ACCESS_MASK GrantedAccess,    IN ULONG HandleCount    )#endif{        PVOID* esp = (PVOID*)&esp;        PVOID* esp_end = (PVOID*)((((DWORD64)esp>>12) + 1)<<12);        //4k round up        PVOID* p = esp;        ULONG SectionPageProtection, AllocationAttributes;        HANDLE FileHandle;        NTSTATUS Status;        /*          * do stack walk back to NtCreateSection function         */        while (p < esp_end &&                 (*p < pNtCreateSection ||                  *p > (PVOID)((PBYTE)pNtCreateSection + 0x300)))                p++;        if (p >= esp_end){                //KdPrint(("no found NtCreateSection %p -> %p\n", esp, esp_end));                return STATUS_SUCCESS;        }        //KdPrint(("%p HookSectionOpen-Object:%p esp:%p %p\n", pNtCreateSection, Object, esp, *p));#ifdef _WIN64        /*          * esp layout look likes[2003 X64 DUMP]:         fffff800`0104113d nt!KiSystemServiceCopyEnd+0x3 retaddr <-------call nt!NtCreateSection         fffffadf`f662ec00  00000000`00000000 param1         fffffadf`f662ec08  00000000`000f001f param2 DesiredAccess         fffffadf`f662ec10  00000000`00000000         fffffadf`f662ec18  00000000`00000000         fffffadf`f662ec20  00000100`00000010 SectionPageProtection         fffffadf`f662ec28  00000000`01000000 AllocationAttributes         fffffadf`f662ec30  00000000`0000054c FileHandle         * - ...          */        p++;        /*         * search retaddr -> nt!KiSystemServiceCopyEnd         */        while (p < esp_end &&                (*p < ntModInfo.ImageBase ||                  *p > (PVOID)((PBYTE)ntModInfo.ImageBase + ntModInfo.ImageSize)))                p++;        if (p >= esp_end){                //KdPrint(("no found nt!KiSystemxxxx %p -> %p\n", esp, esp_end));                return STATUS_SUCCESS;        }#else        /* stack DUMP from 2003/x86          * ebp = p - 1         fa06f4d8  fa06f540         fa06f4dc  80908715 nt!NtCreateSection+0x15c         ...         fa06f540  fa06f564         fa06f544  808234cb nt!KiFastCallEntry+0xf8         fa06f548  fa06f668 param1         */        p = (PVOID*)*(p - 1);        p++;#endif        SectionPageProtection = (ULONG)*(p + 5);        AllocationAttributes = (ULONG)*(p + 6);        FileHandle = *(p + 7);         //KdPrint(("%x %x %p\n", SectionPageProtection, AllocationAttributes, FileHandle));        if (FileHandle                 && SectionPageProtection == PAGE_EXECUTE                && (AllocationAttributes == SEC_IMAGE || AllocationAttributes == 0x100000)){                /* windows7 AllocationAttributes = 0x100000 to LoadDriver */                PFILE_OBJECT File;                Status = ObReferenceObjectByHandle (FileHandle,                                 0,                                 NULL,                                KernelMode,                                (PVOID *)&File,                                NULL);                if (!NT_SUCCESS(Status)) {                        return STATUS_SUCCESS;                }                KdPrint(("FileName:%wZ\n", &File->FileName));                ObDereferenceObject(File);        }        return STATUS_SUCCESS;}BOOL GetNtImgBase(PSYSTEM_MODULE_INFORMATION modInfo){        PSYSMODULELIST sysModuleList = NULL;        ULONG size, i;        NtQuerySystemInformation(SystemModuleInformation, &size, 0, &size);        sysModuleList = ExAllocatePoolWithTag(PagedPool, size, 'hlpm');        if (sysModuleList){                NtQuerySystemInformation(SystemModuleInformation, sysModuleList, size, NULL);                /* nt module should be the first one */                *modInfo = *sysModuleList->Modules;                ExFreePool(sysModuleList);                return TRUE;        }        return FALSE;}NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath){        DWORD i;        UNICODE_STRING sFuncName;                RtlInitUnicodeString(&sFuncName, L"NtCreateSection");        pNtCreateSection = MmGetSystemRoutineAddress(&sFuncName);        if (!GetNtImgBase(&ntModInfo)){                KdPrint(("EnumSysModule nt base failed!\n"));                return STATUS_UNSUCCESSFUL;        }        KdPrint(("nt:%p pNtCreateSection:%p\nMmSectionObjectType:%p %p %p\n",                                 ntModInfo.ImageBase,                                 pNtCreateSection,                                 *MmSectionObjectType,                                (*MmSectionObjectType)->TypeInfo.OpenProcedure,                                (*MmSectionObjectType)->TypeInfo.DeleteProcedure));                (*MmSectionObjectType)->TypeInfo.OpenProcedure = HookSectionOpen;        for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)                DriverObject->MajorFunction[i] = DevicePassthrough;        DriverObject->DriverUnload = DriverUnload;        return STATUS_SUCCESS;} 
可动态监控驱动、dll、exe加载,
新媒体运营 知乎 新媒体运营 知乎
原创粉丝点击
热门IT博客
万合天宜在那个软件万合天宜在那个软件
校园网络超市校园网络超市
物联网和大数据
淘宝店导航条全屏代码
excel数据透视表教程
淘宝多少个差评封店
南京哪里体检好 知乎
js删除a标签的父div
阿里云香港需要备案吗?
易观数据造假
用户数据分析
终端mac地址
php cli 弹出dos窗口
手机去除马赛克软件
照片制作软件下载
知乎俄罗斯模特死亡
访客网络会影响网速么
淘宝假冒品牌申诉
苹果电脑mac怎么截图
基于 的推荐算法
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 入骨情深不自知免费阅读全集 情深不自知 梨花白 盛世美颜不自知 白日清宵 那时情深不自知 细雨微微 浅情不自知全文阅读 自知之明什么意思 我自知君意 冷暖自知什么意思 人贵有自知之明 知人者智自知之明 知人者智自知者明 自知 自知者明 如人饮水冷暖自知 如鱼饮水冷暖自知 如人饮水冷暖自知什么意思 一路走来冷暖自知 手指不自觉抖动 不自觉 大拇指弯曲时不自觉抖动 月球为什么不自转 我的自转 也不至于会出现包裹 不至于是什么意思 但凡花生米不至于是什么梗 该不至于让 不至于 不舍得 表达不舍得离开的句子 不舍得离开的句子 我也不舍得 舍得舍不得 舍得与舍不得 舍不舍得都算了吧 我原来不舍得 不舍得离开但又必须离开 46岁生二胎后悔又不舍得送人 不舍图片 不舍英文 我真的舍不得你走 不舍的句子

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里