[求助]ring0下如何HOOK实现拦截驱动加载并获得映像基址-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 2 楼得到的是注册的服务名，然后查注册表就有了 2010-7-2 11:40 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼 hook ZwLoadDriver，查注册表得到驱动名，然后ZwQuerySystemInformation~ 2010-7-2 13:22 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼这是一个ring3的，可以改成驱动的： #include "ntdll.h" #include <stdio.h> #pragma comment(lib,"ntdll.lib") typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT ModuleNameOffset; CHAR ImageName[256]; } SYSTEM_MODULE_INFORMATION, PSYSTEM_MODULE_INFORMATION; void main() { NTSTATUS status = STATUS_SUCCESS; ULONG moduleNum,len,retLen; PSYSTEM_MODULE_INFORMATION module = NULL; HANDLE CurProc = GetCurrentProcess(); PVOID buf=0; ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&len); printf("len= %d\n",len); status=ZwAllocateVirtualMemory(CurProc,&buf,0,&len,MEM_COMMIT,PAGE_READWRITE); if (!NT_SUCCESS(status)) { printf("allocate failed !\n"); return; } status=ZwQuerySystemInformation(SystemModuleInformation,buf,len,&retLen); if (!NT_SUCCESS(status)) { printf("query failed!\n"); return; } module=(PSYSTEM_MODULE_INFORMATION)((PULONG)buf+1);// moduleNum = ( ( PULONG )buf );//开头的是模块数 printf("\n--------------------------------------------------------------------\n"); for (int i=0;i<moduleNum;i++) { printf( "id:%3d\tbaseaddress:0x%08X\tmodulename:%12s\tsize:%7d\n", i+1, module->Base, module->ImageName + module->ModuleNameOffset , module->Size ); module++; } printf("--------------------------------------------------------------------\n"); ZwFreeVirtualMemory(CurProc,&buf,&len,MEM_RELEASE); } 2010-7-2 13:23 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼 hook NtCreateSection 2010-7-2 18:16 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 6 楼谁知道驱动是哪一个进程加载的是怎么做的吗? 2010-7-2 18:41 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 7 楼标准的注册服务启动驱动的方式都是Services.exe完成的 2010-7-3 12:20 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼服务方式加载的是由Services.exe做的，最终是由Services.exe调用ZwLoadDriver 直接调用ZwLoadDriver/ZwSetSystemInformation加载的就是当前进程。。。 2010-7-3 13:05 0
zhenzero 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	zhenzero 9 楼 PsSetLoadImageNotifyRoutine 2010-7-5 23:26 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 10 楼做个记号。以后用得到 2010-11-3 05:53 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 11 楼 ZwLoadDriver--NtLoadDriver--IopLoadDriver--MmLoadSystemImage--NtCreateSection 服务加载的可以hookZwLoadDriver，SetSystemInformation的是直接调用MmLoadSystemImage的。 PsSetLoadImageNotifyRoutine只是Notify，告诉你驱动已经加载了而已。 2010-11-3 18:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 2 楼得到的是注册的服务名，然后查注册表就有了 2010-7-2 11:40 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼 hook ZwLoadDriver，查注册表得到驱动名，然后ZwQuerySystemInformation~ 2010-7-2 13:22 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼这是一个ring3的，可以改成驱动的： #include "ntdll.h" #include <stdio.h> #pragma comment(lib,"ntdll.lib") typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT ModuleNameOffset; CHAR ImageName[256]; } SYSTEM_MODULE_INFORMATION, PSYSTEM_MODULE_INFORMATION; void main() { NTSTATUS status = STATUS_SUCCESS; ULONG moduleNum,len,retLen; PSYSTEM_MODULE_INFORMATION module = NULL; HANDLE CurProc = GetCurrentProcess(); PVOID buf=0; ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&len); printf("len= %d\n",len); status=ZwAllocateVirtualMemory(CurProc,&buf,0,&len,MEM_COMMIT,PAGE_READWRITE); if (!NT_SUCCESS(status)) { printf("allocate failed !\n"); return; } status=ZwQuerySystemInformation(SystemModuleInformation,buf,len,&retLen); if (!NT_SUCCESS(status)) { printf("query failed!\n"); return; } module=(PSYSTEM_MODULE_INFORMATION)((PULONG)buf+1);// moduleNum = ( ( PULONG )buf );//开头的是模块数 printf("\n--------------------------------------------------------------------\n"); for (int i=0;i<moduleNum;i++) { printf( "id:%3d\tbaseaddress:0x%08X\tmodulename:%12s\tsize:%7d\n", i+1, module->Base, module->ImageName + module->ModuleNameOffset , module->Size ); module++; } printf("--------------------------------------------------------------------\n"); ZwFreeVirtualMemory(CurProc,&buf,&len,MEM_RELEASE); } 2010-7-2 13:23 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼 hook NtCreateSection 2010-7-2 18:16 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 6 楼谁知道驱动是哪一个进程加载的是怎么做的吗? 2010-7-2 18:41 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 7 楼标准的注册服务启动驱动的方式都是Services.exe完成的 2010-7-3 12:20 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼服务方式加载的是由Services.exe做的，最终是由Services.exe调用ZwLoadDriver 直接调用ZwLoadDriver/ZwSetSystemInformation加载的就是当前进程。。。 2010-7-3 13:05 0
zhenzero 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	zhenzero 9 楼 PsSetLoadImageNotifyRoutine 2010-7-5 23:26 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 10 楼做个记号。以后用得到 2010-11-3 05:53 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 11 楼 ZwLoadDriver--NtLoadDriver--IopLoadDriver--MmLoadSystemImage--NtCreateSection 服务加载的可以hookZwLoadDriver，SetSystemInformation的是直接调用MmLoadSystemImage的。 PsSetLoadImageNotifyRoutine只是Notify，告诉你驱动已经加载了而已。 2010-11-3 18:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复