[原创]无hook无patch 无自定义peloader 在内核加载执行驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

发表于: 2011-8-7 21:22 44035

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

cvcvxk

2011-8-7 21:22

44035

我们都知道ZwSetSystemInformation可以用参数SystemExtendServiceTableInformation（38号）加载驱动~但是这个加载驱动有很多很多麻烦与问题~
今天我来介绍的是一种全新的加载驱动的模式~~当然只能在Kernel mode来加载~只有断断的一个KernelAPI的使用哦~亲~
现在目前说来在内核里加载驱动的方式基本都是ZwLoadDriver,Patch 38号的Load参数，搜索使用MmLoadSystemImage，自己实现peloader等不方便不给力，有遗憾的方法~
现在呢，正式介绍一种全新的加载方式，使用ZwSetSystemInformation的
SystemLoadGdiDriverInSystemSpace（54号）来加载驱动，然后调用之~~
这个infoclass的结构定义，不知道DDK上有没有~~

typedef struct _SYSTEM_GDI_DRIVER_INFORMATION {
        UNICODE_STRING DriverName;
        PVOID ImageAddress;
        PVOID SectionPointer;
        PVOID EntryPoint;
        PIMAGE_EXPORT_DIRECTORY ExportSectionPointer;
        ULONG ImageLength;
} SYSTEM_GDI_DRIVER_INFORMATION, *PSYSTEM_GDI_DRIVER_INFORMATION;

然后就是怎么使用了鸟~只要对DriverName用RtlInitUnicodeString赋值就行了
（\\??\\XXXXX形式的参数或者是\\SystemRoot\\XXX形式）
具体请看代码，代码如下~~

NTSTATUS SysLoad(const WCHAR *wcsFileName)
{
        SYSTEM_GDI_DRIVER_INFORMATION gdiinfo;
        NTSTATUS ns;
        PDRIVER_OBJECT	pBeepObj;
        RtlZeroMemory(&gdiinfo,sizeof(SYSTEM_GDI_DRIVER_INFORMATION));
        RtlInitUnicodeString(&gdiinfo.DriverName,wcsFileName);
        ns=ZwSetSystemInformation(SystemLoadGdiDriverInSystemSpace,&gdiinfo,sizeof(SYSTEM_GDI_DRIVER_INFORMATION));
        if (NT_SUCCESS(ns))
        {
                PDRIVER_INITIALIZE InitRoutine;
                UNICODE_STRING pRegPath;
                UNICODE_STRING NameBuffer;
                UNICODE_STRING DevName;
                WCHAR buffer[60];
                InitRoutine = (PDRIVER_INITIALIZE)gdiinfo.EntryPoint;
                if (InitRoutine)
                {
                        PDRIVER_OBJECT pDriverObject;
                         _snwprintf(buffer, (sizeof(buffer) / sizeof(WCHAR)) - 1, L"\\Driver\\%08u", PsGetCurrentThreadId());
                        RtlInitUnicodeString(&NameBuffer,buffer);
                        RtlInitUnicodeString(&DevName, L"\\Driver\\Beep");
                        RtlInitUnicodeString(&pRegPath,wcsFileName);
                        ns = ObReferenceObjectByName(&DevName, OBJ_CASE_INSENSITIVE, NULL, 
                                0, *IoDriverObjectType, KernelMode, NULL, &pBeepObj);
                        if (NT_SUCCESS(ns))
                        {
                                ns=MakeFakeDriverObject(&NameBuffer,&pDriverObject);
                                if(NT_SUCCESS(ns))
                                { 
                                        pDriverObject->DriverStart=InitRoutine;
                                        pDriverObject->DriverInit=InitRoutine;
                                        pDriverObject->DriverSection=pBeepObj->DriverSection;
                                        pDriverObject->DriverSize=gdiinfo.ImageLength;
                                        ns= InitRoutine(pDriverObject,&pRegPath);
                                }
                        }
                         
                }
        }
        return ns;
}

在上面代码里使用了MakeFakeDriverObject来创建一个虚拟的DriverObject
这个函数代码在这里也贴一下~

NTSTATUS
        IopInvalidDeviceRequest(
        IN PDEVICE_OBJECT DeviceObject,
        IN PIRP Irp
        )
{
        if ((IoGetCurrentIrpStackLocation(Irp))->MajorFunction == IRP_MJ_POWER) {
                PoStartNextPowerIrp(Irp);
        }
        Irp->IoStatus.Status = STATUS_INVALID_DEVICE_REQUEST;
        IoCompleteRequest( Irp, IO_NO_INCREMENT );
        return STATUS_INVALID_DEVICE_REQUEST;
}
NTSTATUS MakeFakeDriverObject(IN PUNICODE_STRING driverName,OUT PDRIVER_OBJECT* ppdriverObject)
{
        NTSTATUS status;
        ULONG i;
        OBJECT_ATTRIBUTES objectAttributes;
        PDRIVER_OBJECT driverObject;
        InitializeObjectAttributes( &objectAttributes,
                driverName,
                OBJ_PERMANENT,
                (HANDLE) NULL,
                (PSECURITY_DESCRIPTOR) NULL );
        status = ObCreateObject( ExGetPreviousMode(),
                *IoDriverObjectType,
                &objectAttributes,
                KernelMode,
                (PVOID) NULL,
                //(ULONG) (sizeof( DRIVER_OBJECT ) + sizeof ( DRIVER_EXTENSION )),//this will crash
                //because DRIVER_OBJECT is fixed but DRIVER_EXTENSION are growing bigger than ddk declared
                (ULONG) (sizeof( DRIVER_OBJECT ) + sizeof ( DRIVER_EXTENSION ) + 256),
                0,
                0,
                (PVOID *) ppdriverObject );
        if (!NT_SUCCESS( status ))
        {
                *ppdriverObject = NULL;
                return status;
        }
        driverObject=*ppdriverObject;
        RtlZeroMemory( driverObject, sizeof( DRIVER_OBJECT ) + sizeof ( DRIVER_EXTENSION) + 256 );
        
        driverObject->DriverExtension = (PDRIVER_EXTENSION) (driverObject + 1);
        driverObject->DriverExtension->DriverObject = driverObject;//这个DriverExtension常用，如果没有直接惨死
        driverObject->Type = IO_TYPE_DRIVER;
        driverObject->Size = sizeof( DRIVER_OBJECT );
        driverObject->Flags = DRVO_BUILTIN_DRIVER;
        for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
                driverObject->MajorFunction[i] = IopInvalidDeviceRequest;
        _asm
        {
                        push eax
                        push ebx
                        mov eax,driverObject
                        mov eax,[eax+0x14]
                        mov ebx,[eax+0x34]
                         shr ebx,19
                        or ebx,1
                        shl ebx,19
                        mov [eax+0x34],ebx
                        pop ebx
                        pop eax
        }
        driverObject->DriverName.Buffer = ExAllocatePool( PagedPool,driverName->MaximumLength );
        if (driverObject->DriverName.Buffer)
        {
                driverObject->DriverName.MaximumLength = driverName->MaximumLength;
                driverObject->DriverName.Length = driverName->Length;
                RtlCopyMemory( driverObject->DriverName.Buffer,driverName->Buffer,driverName->MaximumLength );
        }
        return status;
}

ok这样子就行鸟~~这些代码只能在kernel mode加载sys哦~~亲~~
就这样子！

SysLoad(L"\\??\\C:\\123\\killdisk.sys");

[课程]Android-CTF解题方法汇总！

收藏・87

免费・7

支持

最新回复 (60) 1 2 3 ▶
whack 雪币： 144 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	whack 2 楼不懂驱动的路过，支持一下！呵呵! 2011-8-7 21:32 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 3 楼支持V神！！！ 2011-8-7 21:38 0
profmit 雪币： 160 活跃值： (360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 4 楼膜拜!学习之! 2011-8-7 21:43 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 5 楼好像很厉害的样子，先膜拜了再看 2011-8-7 21:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼这个方法，貌似 mj 早提到过。 2011-8-7 21:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 7 楼 V大，虽然你这个也算给力了，但其实我们想说的是“这个不算。这个不符合你的身份，要ring3的......”,你懂的！ 2011-8-7 21:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼 ring3的等那天蛋痛了再放~ 2011-8-7 22:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼祈祷v大立刻蛋疼哈哈 2011-8-7 22:32 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 10 楼怎么让v大蛋疼呢？ 2011-8-7 22:38 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 11 楼老V，你有种出个R3的。不然，我把你跟黑守见不得人的事情说出去，嘿嘿~ 2011-8-7 22:52 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 12 楼啥事 .....祈祷蛋疼之时.... 2011-8-7 23:16 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 13 楼祈祷v大立刻蛋疼哈哈,靠边的兄弟来一脚 2011-8-7 23:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼亲来亲去。。。感觉在他淘宝！强烈要求V大爆个RING3的 2011-8-8 02:43 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 15 楼支持下，没pdf下载 2011-8-8 06:48 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼一大早就这么给力啊~~~ 2011-8-8 07:14 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 17 楼求真相啊 2011-8-8 07:57 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 18 楼 V校与黑守的23事 2011-8-8 08:36 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 19 楼完全不懂。。膜拜。。 2011-8-8 09:39 0
ChiChou 雪币： 105 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	ChiChou 20 楼求黑守同学内幕 2011-8-8 09:39 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 21 楼 V大的东西得顶，跟黑守的内幕可以在V大的群里看到... 2011-8-8 09:52 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 22 楼只能顶了，支持 2011-8-8 09:55 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 23 楼迅速抢占老V前排~ 2011-8-8 10:12 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 24 楼好东西，强烈要求v大来个加载驱动的系列，包括ring3 ring0. 2011-8-8 10:23 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼强烈要求V大爆个RING3的 2011-8-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) 1 2 3 ▶
whack 雪币： 144 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	whack 2 楼不懂驱动的路过，支持一下！呵呵! 2011-8-7 21:32 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 3 楼支持V神！！！ 2011-8-7 21:38 0
profmit 雪币： 160 活跃值： (360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 4 楼膜拜!学习之! 2011-8-7 21:43 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 5 楼好像很厉害的样子，先膜拜了再看 2011-8-7 21:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼这个方法，貌似 mj 早提到过。 2011-8-7 21:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 7 楼 V大，虽然你这个也算给力了，但其实我们想说的是“这个不算。这个不符合你的身份，要ring3的......”,你懂的！ 2011-8-7 21:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼 ring3的等那天蛋痛了再放~ 2011-8-7 22:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼祈祷v大立刻蛋疼哈哈 2011-8-7 22:32 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 10 楼怎么让v大蛋疼呢？ 2011-8-7 22:38 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 11 楼老V，你有种出个R3的。不然，我把你跟黑守见不得人的事情说出去，嘿嘿~ 2011-8-7 22:52 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 12 楼啥事 .....祈祷蛋疼之时.... 2011-8-7 23:16 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 13 楼祈祷v大立刻蛋疼哈哈,靠边的兄弟来一脚 2011-8-7 23:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼亲来亲去。。。感觉在他淘宝！强烈要求V大爆个RING3的 2011-8-8 02:43 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 15 楼支持下，没pdf下载 2011-8-8 06:48 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼一大早就这么给力啊~~~ 2011-8-8 07:14 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 17 楼求真相啊 2011-8-8 07:57 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 18 楼 V校与黑守的23事 2011-8-8 08:36 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 19 楼完全不懂。。膜拜。。 2011-8-8 09:39 0
ChiChou 雪币： 105 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	ChiChou 20 楼求黑守同学内幕 2011-8-8 09:39 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 21 楼 V大的东西得顶，跟黑守的内幕可以在V大的群里看到... 2011-8-8 09:52 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 22 楼只能顶了，支持 2011-8-8 09:55 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 23 楼迅速抢占老V前排~ 2011-8-8 10:12 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 24 楼好东西，强烈要求v大来个加载驱动的系列，包括ring3 ring0. 2011-8-8 10:23 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼强烈要求V大爆个RING3的 2011-8-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复