1.驱动开发:运用VAD隐藏R3内存思路2.驱动开发:应用DeviceIoContro模板精讲
3.驱动开发:取进程模块的函数地址
4.驱动开发:内核读写内存多级偏移5.驱动开发:内核物理内存寻址读写6.驱动开发:内核远程线程实现DLL注入7.驱动开发:摘除InlineHook内核钩子8.驱动开发:内核中进程与句柄互转9.驱动开发:内核注册表增删改查10.驱动开发:基于事件同步的反向通信11.驱动开发:文件微过滤驱动入门12.驱动开发:内核RIP劫持实现DLL注入13.驱动开发:内核解锁与强删文件14.驱动开发:内核ShellCode线程注入15.驱动开发:内核LoadLibrary实现DLL注入16.驱动开发:内核遍历文件或目录17.驱动开发:内核文件读写系列函数18.驱动开发:内核封装WFP防火墙入门19.驱动开发:PE导出函数与RVA转换20.驱动开发:内核扫描SSDT挂钩状态21.驱动开发:内核实现SSDT挂钩与摘钩22.驱动开发:内核PE结构VA与FOA转换23.驱动开发:内核解析PE结构节表24.驱动开发:内核解析PE结构导出表25.驱动开发:内核读写内存浮点数26.驱动开发:内核解析内存四级页表27.驱动开发:内核实现进程汇编与反汇编28.驱动开发:通过应用堆实现多次通信29.驱动开发:内核远程堆分配与销毁30.驱动开发:通过MDL映射实现多次通信31.驱动开发:内核使用IO/DPC定时器32.驱动开发:探索DRIVER_OBJECT驱动对象33.驱动开发:配置Visual Studio驱动开发环境34.驱动开发:内核封装TDI网络通信接口35.驱动开发:内核封装WSK网络通信接口36.驱动开发:内核层InlineHook挂钩函数37.驱动开发:内核LDE64引擎计算汇编长度38.驱动开发:内核强制结束进程运行39.驱动开发:内核监控FileObject文件回调40.驱动开发:内核监控Register注册表回调41.驱动开发:内核运用LoadImage屏蔽驱动42.驱动开发:内核监视LoadImage映像回调43.驱动开发:内核无痕隐藏自身分析44.驱动开发:内核注册并监控对象回调45.驱动开发:内核监控进程与线程回调46.驱动开发:内核测试模式过DSE签名47.驱动开发:内核枚举进程与线程ObCall回调48.驱动开发:内核枚举Registry注册表回调49.驱动开发:内核枚举LoadImage映像回调50.驱动开发:内核枚举ShadowSSDT基址51.驱动开发:Win10枚举完整SSDT地址表52.驱动开发:Win10内核枚举SSDT表基址53.驱动开发:内核特征码扫描PE代码段54.驱动开发:内核枚举Minifilter微过滤驱动55.驱动开发:内核特征码搜索函数封装56.驱动开发:内核枚举驱动内线程(答疑篇)57.驱动开发:内核枚举PspCidTable句柄表58.驱动开发:内核枚举DpcTimer定时器59.驱动开发:如何枚举所有SSDT表地址60.驱动开发:内核枚举IoTimer定时器61.驱动开发:内核遍历进程VAD结构体62.驱动开发:内核中实现Dump进程转储63.驱动开发:内核R3与R0内存映射拷贝64.驱动开发:内核通过PEB得到进程参数65.驱动开发:内核取应用层模块基地址66.驱动开发:内核取ntoskrnl模块基地址67.驱动开发:判断自身是否加载成功68.驱动开发:应用DeviceIoContro开发模板69.驱动开发:通过Async反向与内核通信70.驱动开发:通过PIPE管道与内核层通信71.驱动通信:通过PIPE管道与内核层通信72.驱动开发:通过ReadFile与内核层通信73.驱动开发:内核字符串拷贝与比较74.驱动开发:内核字符串转换方法75.驱动开发:内核中的自旋锁结构76.驱动开发:内核CR3切换读写内存77.驱动开发:内核中的链表与结构体78.驱动开发:摘链DKOM进程隐藏79.驱动开发:WinDBG 枚举SSDT以及SSSDT地址80.驱动开发:实现驱动加载卸载工具81.驱动开发:断链隐藏驱动程序自身82.驱动开发:通过内存拷贝读写内存83.驱动开发:内核MDL读写进程内存84.驱动开发:内核监控进程与线程创建85.驱动开发:监控进程与线程对象操作86.驱动开发:WinDBG 常用调试命令总结87.驱动开发:通过SystemBuf与内核层通信88.驱动开发:对象回调监控文件访问89.驱动开发:内核中枚举进线程与模块90.驱动开发:DKOM 实现进程隐藏91.驱动开发:内核读取SSDT表基址92.驱动开发:驱动与应用的简单通信93.驱动开发:恢复SSDT内核钩子94.驱动开发:挂接SSDT内核钩子95.驱动开发:WinDBG 配置内核双机调试96.VS2013+WDK8.1 驱动开发环境配置97.驱动开发:派遣函数与设备对象在笔者上一篇文章《驱动开发:内核取应用层模块基地址》中简单为大家介绍了如何通过遍历PLIST_ENTRY32链表的方式获取到32位应用程序中特定模块的基地址,由于是入门系列所以并没有封装实现太过于通用的获取函数,本章将继续延申这个话题,并依次实现通用版GetUserModuleBaseAddress()取远程进程中指定模块的基址和GetModuleExportAddress()取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。
首先封装一个lyshark.h头文件,此类头文件中的定义都是微软官方定义好的规范,如果您想获取该结构的详细说明文档请参阅微软官方,此处不做过多的介绍。
// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
#include GetUserModuleBaseAddress(): 实现取进程中模块基址,该功能在《驱动开发:内核取应用层模块基地址》中详细介绍过原理,这段代码核心原理如下所示,此处最需要注意的是如果是32位进程则我们需要得到PPEB32 Peb32结构体,该结构体通常可以直接使用PsGetProcessWow64Process()这个内核函数获取到,而如果是64位进程则需要将寻找PEB的函数替换为PsGetProcessPeb(),其他的枚举细节与上一篇文章中的方法一致。
// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
#include 那么该函数该如何调用传递参数呢,如下代码是DriverEntry入口处的调用方法,首先要想得到特定进程的特定模块地址则第一步就是需要PsLookupProcessByProcessId找到模块的EProcess结构,接着通过PsGetProcessWow64Process得到当前被操作进程是32位还是64位,通过调用KeStackAttachProcess附加到进程内存中,然后调用GetUserModuleBaseAddress并传入需要获取模块的名字得到数据后返回给NtdllAddress变量,最后调用KeUnstackDetachProcess取消附加即可。
// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
HANDLE ProcessID = (HANDLE)7924;
PEPROCESS EProcess = NULL;
NTSTATUS Status = STATUS_SUCCESS;
KAPC_STATE ApcState;
DbgPrint("Hello LyShark.com \n");
// 根据PID得到进程EProcess结构
Status = PsLookupProcessByProcessId(ProcessID, &EProcess);
if (Status != STATUS_SUCCESS)
{
DbgPrint("获取EProcessID失败 \n");
return Status;
}
// 判断目标进程是32位还是64位
BOOLEAN IsWow64 = (PsGetProcessWow64Process(EProcess) != NULL) ? TRUE : FALSE;
// 验证地址是否可读
if (!MmIsAddressValid(EProcess))
{
DbgPrint("地址不可读 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
// 将当前线程连接到目标进程的地址空间(附加进程)
KeStackAttachProcess((PRKPROCESS)EProcess, &ApcState);
__try
{
UNICODE_STRING NtdllUnicodeString = { 0 };
PVOID NtdllAddress = NULL;
// 得到进程内ntdll.dll模块基地址
RtlInitUnicodeString(&NtdllUnicodeString, L"Ntdll.dll");
NtdllAddress = GetUserModuleBaseAddress(EProcess, &NtdllUnicodeString, IsWow64);
if (!NtdllAddress)
{
DbgPrint("没有找到基址 \n");
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
DbgPrint("[*] 模块ntdll.dll基址: %p \n", NtdllAddress);
}
__except (EXCEPTION_EXECUTE_HANDLER)
{
}
// 取消附加
KeUnstackDetachProcess(&ApcState);
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
替换DriverEntry入口函数处的ProcessID并替换为当前需要获取的应用层进程PID,运行驱动程序即可得到该进程内Ntdll.dll的模块基址,输出效果如下;
GetModuleExportAddress(): 实现获取特定模块中特定函数的基地址,通常我们通过GetUserModuleBaseAddress()可得到进程内特定模块的基址,然后则可继续通过GetModuleExportAddress()获取到该模块内特定导出函数的内存地址,至于获取导出表中特定函数的地址则可通过如下方式循环遍历导出表函数获取。
// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
// 获取特定模块下的导出函数地址
PVOID GetModuleExportAddress(IN PVOID ModuleBase, IN PCCHAR FunctionName, IN PEPROCESS EProcess)
{
PIMAGE_DOS_HEADER ImageDosHeader = (PIMAGE_DOS_HEADER)ModuleBase;
PIMAGE_NT_HEADERS32 ImageNtHeaders32 = NULL;
PIMAGE_NT_HEADERS64 ImageNtHeaders64 = NULL;
PIMAGE_EXPORT_DIRECTORY ImageExportDirectory = NULL;
ULONG ExportDirectorySize = 0;
ULONG_PTR FunctionAddress = 0;
// 为空则返回
if (ModuleBase == NULL)
{
return NULL;
}
// 是不是PE文件
if (ImageDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
{
return NULL;
}
// 获取NT头
ImageNtHeaders32 = (PIMAGE_NT_HEADERS32)((PUCHAR)ModuleBase + ImageDosHeader->e_lfanew);
ImageNtHeaders64 = (PIMAGE_NT_HEADERS64)((PUCHAR)ModuleBase + ImageDosHeader->e_lfanew);
// 是64位则执行
if (ImageNtHeaders64->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC)
{
ImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)(ImageNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + (ULONG_PTR)ModuleBase);
ExportDirectorySize = ImageNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
}
// 是32位则执行
else
{
ImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)(ImageNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + (ULONG_PTR)ModuleBase);
ExportDirectorySize = ImageNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
}
// 得到导出表地址偏移和名字
PUSHORT pAddressOfOrds = (PUSHORT)(ImageExportDirectory->AddressOfNameOrdinals + (ULONG_PTR)ModuleBase);
PULONG pAddressOfNames = (PULONG)(ImageExportDirectory->AddressOfNames + (ULONG_PTR)ModuleBase);
PULONG pAddressOfFuncs = (PULONG)(ImageExportDirectory->AddressOfFunctions + (ULONG_PTR)ModuleBase);
// 循环搜索导出表
for (ULONG i = 0; i < ImageExportDirectory->NumberOfFunctions; ++i)
{
USHORT OrdIndex = 0xFFFF;
PCHAR pName = NULL;
// 搜索导出表下标索引
if ((ULONG_PTR)FunctionName <= 0xFFFF)
{
OrdIndex = (USHORT)i;
}
// 搜索导出表名字
else if ((ULONG_PTR)FunctionName > 0xFFFF && i < ImageExportDirectory->NumberOfNames)
{
pName = (PCHAR)(pAddressOfNames[i] + (ULONG_PTR)ModuleBase);
OrdIndex = pAddressOfOrds[i];
}
else
{
return NULL;
}
// 找到设置返回值并跳出
if (((ULONG_PTR)FunctionName <= 0xFFFF && (USHORT)((ULONG_PTR)FunctionName) == OrdIndex + ImageExportDirectory->Base) || ((ULONG_PTR)FunctionName > 0xFFFF && strcmp(pName, FunctionName) == 0))
{
FunctionAddress = pAddressOfFuncs[OrdIndex] + (ULONG_PTR)ModuleBase;
break;
}
}
return (PVOID)FunctionAddress;
}
如何调用此方法,首先将ProcessID设置为需要读取的进程PID,然后将上图中所输出的0x00007FF9553C0000赋值给BaseAddress接着调用GetModuleExportAddress()并传入BaseAddress模块基址,需要读取的LdrLoadDll函数名,以及当前进程的EProcess结构。
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
HANDLE ProcessID = (HANDLE)4144;
PEPROCESS EProcess = NULL;
NTSTATUS Status = STATUS_SUCCESS;
// 根据PID得到进程EProcess结构
Status = PsLookupProcessByProcessId(ProcessID, &EProcess);
if (Status != STATUS_SUCCESS)
{
DbgPrint("获取EProcessID失败 \n");
return Status;
}
PVOID BaseAddress = (PVOID)0x00007FF9553C0000;
PVOID RefAddress = 0;
// 传入Ntdll.dll基址 + 函数名 得到该函数地址
RefAddress = GetModuleExportAddress(BaseAddress, "LdrLoadDll", EProcess);
DbgPrint("[*] 函数地址: %p \n", RefAddress);
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}
运行这段程序,即可输出如下信息,此时也就得到了x64.exe进程内ntdll.dll模块里面的LdrLoadDll函数的内存地址,如下所示;
