[原创]无hook无patch 无自定义peloader 在内核加载执行驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

发表于: 2011-8-7 21:22 44166

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

cvcvxk

2011-8-7 21:22

44166

我们都知道ZwSetSystemInformation可以用参数SystemExtendServiceTableInformation（38号）加载驱动~但是这个加载驱动有很多很多麻烦与问题~
今天我来介绍的是一种全新的加载驱动的模式~~当然只能在Kernel mode来加载~只有断断的一个KernelAPI的使用哦~亲~
现在目前说来在内核里加载驱动的方式基本都是ZwLoadDriver,Patch 38号的Load参数，搜索使用MmLoadSystemImage，自己实现peloader等不方便不给力，有遗憾的方法~
现在呢，正式介绍一种全新的加载方式，使用ZwSetSystemInformation的
SystemLoadGdiDriverInSystemSpace（54号）来加载驱动，然后调用之~~
这个infoclass的结构定义，不知道DDK上有没有~~

typedef struct _SYSTEM_GDI_DRIVER_INFORMATION {
        UNICODE_STRING DriverName;
        PVOID ImageAddress;
        PVOID SectionPointer;
        PVOID EntryPoint;
        PIMAGE_EXPORT_DIRECTORY ExportSectionPointer;
        ULONG ImageLength;
} SYSTEM_GDI_DRIVER_INFORMATION, *PSYSTEM_GDI_DRIVER_INFORMATION;

NTSTATUS SysLoad(const WCHAR *wcsFileName)
{
        SYSTEM_GDI_DRIVER_INFORMATION gdiinfo;
        NTSTATUS ns;
        PDRIVER_OBJECT	pBeepObj;
        RtlZeroMemory(&gdiinfo,sizeof(SYSTEM_GDI_DRIVER_INFORMATION));
        RtlInitUnicodeString(&gdiinfo.DriverName,wcsFileName);
        ns=ZwSetSystemInformation(SystemLoadGdiDriverInSystemSpace,&gdiinfo,sizeof(SYSTEM_GDI_DRIVER_INFORMATION));
        if (NT_SUCCESS(ns))
        {
                PDRIVER_INITIALIZE InitRoutine;
                UNICODE_STRING pRegPath;
                UNICODE_STRING NameBuffer;
                UNICODE_STRING DevName;
                WCHAR buffer[60];
                InitRoutine = (PDRIVER_INITIALIZE)gdiinfo.EntryPoint;
                if (InitRoutine)
                {
                        PDRIVER_OBJECT pDriverObject;
                         _snwprintf(buffer, (sizeof(buffer) / sizeof(WCHAR)) - 1, L"\\Driver\\%08u", PsGetCurrentThreadId());
                        RtlInitUnicodeString(&NameBuffer,buffer);
                        RtlInitUnicodeString(&DevName, L"\\Driver\\Beep");
                        RtlInitUnicodeString(&pRegPath,wcsFileName);
                        ns = ObReferenceObjectByName(&DevName, OBJ_CASE_INSENSITIVE, NULL, 
                                0, *IoDriverObjectType, KernelMode, NULL, &pBeepObj);
                        if (NT_SUCCESS(ns))
                        {
                                ns=MakeFakeDriverObject(&NameBuffer,&pDriverObject);
                                if(NT_SUCCESS(ns))
                                { 
                                        pDriverObject->DriverStart=InitRoutine;
                                        pDriverObject->DriverInit=InitRoutine;
                                        pDriverObject->DriverSection=pBeepObj->DriverSection;
                                        pDriverObject->DriverSize=gdiinfo.ImageLength;
                                        ns= InitRoutine(pDriverObject,&pRegPath);
                                }
                        }
                         
                }
        }
        return ns;
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・87

免费・7

支持

最新回复 (60) 1 2 3 ▶
whack 雪币： 144 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	whack 2 楼不懂驱动的路过，支持一下！呵呵! 2011-8-7 21:32 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 3 楼支持V神！！！ 2011-8-7 21:38 0
profmit 雪币： 160 活跃值： (380) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 4 楼膜拜!学习之! 2011-8-7 21:43 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 5 楼好像很厉害的样子，先膜拜了再看 2011-8-7 21:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼这个方法，貌似 mj 早提到过。 2011-8-7 21:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 7 楼 V大，虽然你这个也算给力了，但其实我们想说的是“这个不算。这个不符合你的身份，要ring3的......”,你懂的！ 2011-8-7 21:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 ring3的等那天蛋痛了再放~ 2011-8-7 22:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼祈祷v大立刻蛋疼哈哈 2011-8-7 22:32 0
joker陈雪币： 10962 活跃值： (2925) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 10 楼怎么让v大蛋疼呢？ 2011-8-7 22:38 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 11 楼老V，你有种出个R3的。不然，我把你跟黑守见不得人的事情说出去，嘿嘿~ 2011-8-7 22:52 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 12 楼啥事 .....祈祷蛋疼之时.... 2011-8-7 23:16 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 13 楼祈祷v大立刻蛋疼哈哈,靠边的兄弟来一脚 2011-8-7 23:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼亲来亲去。。。感觉在他淘宝！强烈要求V大爆个RING3的 2011-8-8 02:43 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 15 楼支持下，没pdf下载 2011-8-8 06:48 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼一大早就这么给力啊~~~ 2011-8-8 07:14 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 17 楼求真相啊 2011-8-8 07:57 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 18 楼 V校与黑守的23事 2011-8-8 08:36 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 19 楼完全不懂。。膜拜。。 2011-8-8 09:39 0
ChiChou 雪币： 105 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	ChiChou 20 楼求黑守同学内幕 2011-8-8 09:39 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 21 楼 V大的东西得顶，跟黑守的内幕可以在V大的群里看到... 2011-8-8 09:52 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 22 楼只能顶了，支持 2011-8-8 09:55 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 23 楼迅速抢占老V前排~ 2011-8-8 10:12 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 24 楼好东西，强烈要求v大来个加载驱动的系列，包括ring3 ring0. 2011-8-8 10:23 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼强烈要求V大爆个RING3的 2011-8-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) 1 2 3 ▶
whack 雪币： 144 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	whack 2 楼不懂驱动的路过，支持一下！呵呵! 2011-8-7 21:32 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 3 楼支持V神！！！ 2011-8-7 21:38 0
profmit 雪币： 160 活跃值： (380) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 4 楼膜拜!学习之! 2011-8-7 21:43 0
三寸法师雪币： 475 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 5 楼好像很厉害的样子，先膜拜了再看 2011-8-7 21:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼这个方法，貌似 mj 早提到过。 2011-8-7 21:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 7 楼 V大，虽然你这个也算给力了，但其实我们想说的是“这个不算。这个不符合你的身份，要ring3的......”,你懂的！ 2011-8-7 21:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 ring3的等那天蛋痛了再放~ 2011-8-7 22:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼祈祷v大立刻蛋疼哈哈 2011-8-7 22:32 0
joker陈雪币： 10962 活跃值： (2925) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 10 楼怎么让v大蛋疼呢？ 2011-8-7 22:38 0
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 11 楼老V，你有种出个R3的。不然，我把你跟黑守见不得人的事情说出去，嘿嘿~ 2011-8-7 22:52 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 12 楼啥事 .....祈祷蛋疼之时.... 2011-8-7 23:16 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 13 楼祈祷v大立刻蛋疼哈哈,靠边的兄弟来一脚 2011-8-7 23:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼亲来亲去。。。感觉在他淘宝！强烈要求V大爆个RING3的 2011-8-8 02:43 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 15 楼支持下，没pdf下载 2011-8-8 06:48 0
fhurricane 雪币： 492 活跃值： (53) 能力值： ( LV6，RANK：80 ) 在线值：发帖 36 回帖 270 粉丝 2 关注私信	fhurricane 1 16 楼一大早就这么给力啊~~~ 2011-8-8 07:14 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 17 楼求真相啊 2011-8-8 07:57 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 18 楼 V校与黑守的23事 2011-8-8 08:36 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 19 楼完全不懂。。膜拜。。 2011-8-8 09:39 0
ChiChou 雪币： 105 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	ChiChou 20 楼求黑守同学内幕 2011-8-8 09:39 0
whitefirer 雪币： 242 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	whitefirer 1 21 楼 V大的东西得顶，跟黑守的内幕可以在V大的群里看到... 2011-8-8 09:52 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 22 楼只能顶了，支持 2011-8-8 09:55 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 23 楼迅速抢占老V前排~ 2011-8-8 10:12 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 24 楼好东西，强烈要求v大来个加载驱动的系列，包括ring3 ring0. 2011-8-8 10:23 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼强烈要求V大爆个RING3的 2011-8-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复