[原创]自动获取驱动程序IO控制码初级版-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]自动获取驱动程序IO控制码初级版

2012-7-27 17:22 11478

[原创]自动获取驱动程序IO控制码初级版

dragonltx

2012-7-27 17:22

11478

"""

Galaxy Security Lab Driver Analysis for IDA Pro

Author :dragonltx
Time :2012-7-27

"""
看了Justin的《Python灰帽子》的第十章，里面提到可以用Immunity Debugger来加载驱动，并通过driverlib来获取驱动程序的io控制码，遂用Immunity Debugger加载一个驱动试试，发现加载失败，于是给Justin发了封邮件，没鸟我。

后来想了想，既然是用Immunity Debugger静态分析驱动来获取驱动程序的io控制码，还不如用IDA来分析，于是有了这篇文章。本文给出的获取驱动程序的io控制码的脚本采用IDA Python，可以给IDA Python新手当作参考，高手略过。

一、获取驱动设备名

def getDeviceName():
    """
    Get Device Name from a driver. 
    @rtype:   void
    @returns: void
    """
    ea = 0
    while True:
     ea =  FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "\\\\Device\\\\")
     string = GetString(ea, -1, ASCSTR_UNICODE)
     if string is None:
        continue
     else:
        #Message("Find in %x\n" % ea)
        Message("device is %s\n" % string)
	break

通过FindText这个函数来查找包含“\\Device\\”这个函数的偏移地址，然后通过GetString来获取字符串，如果获取的字符串为空，继续查找。两个函数的原型如下：

二、获取分发函数地址

def getDispatchAddress():
    """
    Get Device Dispatch Address from a driver. 
    @rtype:   int
    @returns: Dispatch Address
    """
    ea = 0
    ea =  FindText(ea,  SEARCH_DOWN |SEARCH_NEXT | SEARCH_REGEX, 0, 0, "mov *dword *ptr *\\[[a-zA-Z]* *\\+ *70h\\],[a-zA-Z0-9_ ]*")
    #ea =  FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "test *[a-zA-Z]*, +[a-zA-Z]*")
    #Message("Find in %x\n" % ea)
    if ea == BADADDR:
        Message("Cann't find the Dispatch address")
        address = BADADDR
    else:
        address = GetOperandValue(ea,1)
        Message("Dispatch address is %x\n" % address)
	return address

首先用FindText查找mov dword ptr [edx+70h], offset sub_11010类似这种形式的指令，通过正则匹配查找。找到后，用GetOperandValue函数获取第二个操作数的值，即是分发函数的地址。函数原型如下：

三、获取一个函数的所有指令

def getFunctionInstructions():
    """
    Get All Instructions from a function.
    Here,Just Get All Instructions Offset,and store them in list
    @rtype:   List
    @returns: List of All Instructions
    """
    Instructions = []
    DispatchBeginAddress = getDispatchAddress()
    if DispatchBeginAddress == BADADDR:
       Message("Cann't find the Function Instructions List")
       return None
    DispatchEndAddress = GetFunctionAttr(DispatchBeginAddress,FUNCATTR_END)
    i =  DispatchBeginAddress
    while True:
      #Instructions.append(GetDisasm(i))
      Instructions.append(i)
      tmp = i + ItemSize(i)
      if tmp < DispatchEndAddress:
         i = i + ItemSize(i)
      else:
         break
    address = i
    return Instructions

通过GetFunctionAttr获取函数的结束地址，再通过ItemSize来获取每条指令的大小，然后循环遍历即可获得这个函数的所有指令的偏移地址。这边先获取所有指令的偏移地址，而不是指令，下面获取io控制码会用到。函数原型如下：

四、获取驱动程序的所有io控制码

def getIoctlCode():
    """
    Get All IoctlCodes from a driver. 
    @rtype:   List
    @returns: List of All IoctlCodes
    """
    isConditionalJmp             = False
    isFirst                      = True
    BaseRegister                 = None
    OperRegister                 = None
    IoctlCode                    = []
    DispatchFunctionInstructions = []
    DispatchFunctionInstructions = getFunctionInstructions()[::-1]
    if DispatchFunctionInstructions == None:
       Message("Cann't get the IoctlCodes")
       return
    for i in DispatchFunctionInstructions:
      #Message("The instrucion of this function is %x\n" % i)
      mnem = GetMnem(i)
      if "jz" in mnem or "je" in mnem:
         isConditionalJmp = True
         continue
        
      if "cmp" in mnem and isConditionalJmp and isFirst:
         sisConditionalJmp = False
         BaseRegister  = GetOpnd(i,0)
         IoctlCode.append(GetOperandValue(i,1))  
         isFirst = False
         continue
         
      if "cmp" in mnem and isConditionalJmp and not isFirst:
         isConditionalJmp = False
         OperRegister  =  GetOpnd(i,0)
         if OperRegister == BaseRegister:
            IoctlCode.append(GetOperandValue(i,1))   
      
          
    for i in IoctlCode:
        Message("The ioctlcode of this driver is %x\n" % i)

获取分发函数的所有指令偏移后，倒序查找。如果碰到是jz或者是je的，且接下来是cmp的指令，并且比较操作的寄存器是否一样，一样的话，则把io控制码存储。（这样还是不够准确的，如果碰到其他的jz且连着jmp的指令，但不是io控制码。纯自动分析有时候不能识别）。相关函数原型如下：

后话：
1、上面实现的自动获取io控制码的比较简单，有些情况没有考虑到，算是初级版。
2、只能用来获取派遣函数形式如下的分发函数地址，

而下面的方式就不行，分发函数的赋值形式跟上面不同。

3、获取io控制码时，如果只有一个io控制码，并且有其他jz、cmp组合时，靠自动分析是不知道哪个是io控制码的。
4、上面的脚本可以当作IDA Python的练手，有兴趣的可以继续改进。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （23.46kb，343次下载）
2.png （160.98kb，342次下载）
3.png （41.13kb，341次下载）
4.png （89.61kb，335次下载）
5.png （112.14kb，341次下载）
6.png （4.74kb，337次下载）
7.png （47.15kb，340次下载）
8.png （44.39kb，339次下载）
9.png （44.31kb，334次下载）
10.png （5.44kb，337次下载）
11.png （16.64kb，337次下载）
GetIoctlCode.rar （1.16kb，142次下载）

收藏・12

点赞・3

打赏

最新回复 (10)
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	dEARMoON 2012-7-27 18:59 2 楼 0 switch的优化形式有很多,cmp比较只是最简单的一种,该脚本只能识别最简单的IOCTL. 之前有写过,效果不太好,可以转换一下思路. 另外感谢楼主分享.
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 54 回帖 256 粉丝 2 关注私信	jasonnbfan 8 2012-7-27 20:14 3 楼 0 mark IO控制码感谢楼主共享
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 2012-7-27 20:37 4 楼 0 正在研究deviceIOControl机制感谢lz分享
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 19 回帖 240 粉丝 10 关注私信	dragonltx 6 2012-7-27 20:47 5 楼 0 是这样的，Immunity Debugger里面的driverlib也只考虑了最简单的情况，这种单纯靠静态分析比较困难，只是分享下IDA Python的实例！哈哈！有兴趣的兄弟可以考虑继续优化！
tihty 雪币： 25 活跃值： (84) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1110 粉丝 3 关注私信	tihty 2 2012-7-27 22:13 6 楼 0 Python
yuansunxue 雪币： 1021 活跃值： (225) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 2012-7-27 23:02 7 楼 0 学习学习 python是个好东西
HSQ 雪币： 381 活跃值： (125) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 330 粉丝 7 关注私信	HSQ 8 2012-8-4 18:00 8 楼 0 学习，”似乎“很有用的方法
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	dEARMoON 2012-8-30 15:25 9 楼 0 可以考虑利用IDA的F5来做,会方便很多
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 141 回帖 1141 粉丝 40 关注私信	viphack 4 2012-8-30 16:15 10 楼 0 mark马克￡
wngbx 雪币： 215 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wngbx 2020-11-30 11:40 11 楼 0 python好强大,谢谢楼主分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复