让XueTr卸载不了我们的驱动

最新推荐文章于 2024-10-07 14:04:09 发布
最新推荐文章于 2024-10-07 14:04:09 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Rootkit 文章标签: object deb function string null io
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/OSReact/article/details/7738564
本文介绍了一个防止驱动被XueTr卸载的方法。通过在驱动的DriverUnload函数中设置DriverObject->DriverSection为NULL,可以阻止nt!IopDeleteDriver调用MmUnloadSystemImage卸载驱动。加载编译后的驱动并测试,XueTr的“卸载驱动(危险)”选项会变灰,无法执行卸载操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先上代码溜溜: 


#include <ntddk.h>
void testUnload(IN PDRIVER_OBJECT DriverObject)
{
}

NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
  Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
  Irp->IoStatus.Information = 0;
  IoCompleteRequest(Irp, IO_NO_INCREMENT);
  return Irp->IoStatus.Status;
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
{
  ULONG i;

  for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
    DriverObject->MajorFunction[i] = testDefaultHandler;
  
  DriverObject->DriverUnload = testUnload;

  return STATUS_SUCCESS;
}

驱动卸载时,函数调用如下: 


kd> kp
ChildEBP RetAddr  
ee5deb30 805b1bde nt!IopDeleteDriver
ee5deb4c 80523bf1 nt!ObpRemoveObjectRoutine+0xe0
ee5deb70 804f5778 nt!ObfDereferenceObject+0x5f
ee5dec14 8057a83d nt!IopUnloadDriver+0x28a
ee5dec24 8053e6d8 nt!NtUnloadDriver+0xf
ee5dec24 80500231 nt!KiFastCallEntry+0xf8
ee5deca0 804f55df nt!ZwUnloadDriver+0x11
ee5ded48 8057a83d nt!IopUnloadDriver+0xf1
ee5ded58 8053e6d8 nt!NtUnloadDriver+0xf


在nt!IopDeleteDriver中,有如下的判断代码(WRK,/base/ntos/io/iomgr/objsup.c 787行): 

   
 if (driverObject->DriverSection != NULL) {
        //
        // Make sure any DPC's that may be running inside the driver have completed
        //
        KeFlushQueuedDpcs ();

        MmUnloadSystemImage( driverObject->DriverSection );

        PpDriverObjectDereferenceComplete(driverObject);
    }

如果driverObject->DriverSection不为空的话,就会调用MmUnloadSystemImage把驱动映象从内核中卸掉
如果driverObject->DriverSection为空的话呢?
那当然就不会把把驱动映象从内核中卸掉了,驱动仍然在内核中,该干嘛干嘛
所以我们只要在驱动的DriverUnload函数里面添加一句代码就行: 


#include <ntddk.h>
void testUnload(IN PDRIVER_OBJECT DriverObject)
{
  DriverObject->DriverSection=NULL;
}

NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
  Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;
  Irp->IoStatus.Information = 0;
  IoCompleteRequest(Irp, IO_NO_INCREMENT);
  return Irp->IoStatus.Status;
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
{
  ULONG i;

  for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
    DriverObject->MajorFunction[i] = testDefaultHandler;
  
  DriverObject->DriverUnload = testUnload;

  return STATUS_SUCCESS;
}

卸载函数时,函数调用如下: 


kd> kp  
 ChildEBP RetAddr    
 ee5deb30 805b1bde nt!IopDeleteDriver  
 ee5deb4c 80523bf1 nt!ObpRemoveObjectRoutine+0xe0  
 ee5deb70 804f5778 nt!ObfDereferenceObject+0x5f  
 ee5dec14 8057a83d nt!IopUnloadDriver+0x28a  
 ee5dec24 8053e6d8 nt!NtUnloadDriver+0xf  
 ee5dec24 80500231 nt!KiFastCallEntry+0xf8  
 ee5deca0 804f55df nt!ZwUnloadDriver+0x11  
 ee5ded48 8057a83d nt!IopUnloadDriver+0xf1  
 ee5ded58 8053e6d8 nt!NtUnloadDriver+0xf

在nt!IopDeleteDriver中,有如下的判断代码(WRK,/base/ntos/io/iomgr/objsup.c 787行): 
if (driverObject->DriverSection != NULL) {  
         //  
        // Make sure any DPC's that may be running inside the driver have completed  
         //  
         KeFlushQueuedDpcs ();  

         MmUnloadSystemImage( driverObject->DriverSection );  
        PpDriverObjectDereferenceComplete(driverObject);  
    } 
 


如果driverObject->DriverSection不为空的话,就会调用MmUnloadSystemImage把驱动映象从内核中卸掉 ,如果driverObject->DriverSection为空的话呢? 那当然就不会把把驱动映象从内核中卸掉了,驱动仍然在内核中,该干嘛干嘛 ,所以我们只要在驱动的DriverUnload函数里面添加一句代码就行: 

void testUnload(IN PDRIVER_OBJECT DriverObject)  
 {  
   DriverObject->DriverSection=NULL;  
 }  

NTSTATUS testDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)  
 {  
   Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;  
   Irp->IoStatus.Information = 0;  
   IoCompleteRequest(Irp, IO_NO_INCREMENT);  
   return Irp->IoStatus.Status;  
 }  

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)  
 {  
   ULONG i;  

   for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)  

     DriverObject->MajorFunction[i] = testDefaultHandler;  

     DriverObject->DriverUnload = testUnload;  
     return STATUS_SUCCESS;  
 } 
 
用InstDrv.exe加载编译后的驱动,依次点击安装、启动、停止、卸载,然后用XueTr测试一下,发现虽然能显示test.sys的存在,但菜单里面“卸载驱动(危险)”已经变灰,无法点击了。虽然是自己在做题时根据MJ的语录翻的WRK,不知道上面这文章会不会是火星或抄袭了…还请大家指正。。
android 文件过滤驱动,自己写的Xuetr工具驱动读写过滤驱动,并奉献上源码
weixin_39702335的博客
05-26 669
[C] 纯文本查看 复制代码#include /*First Driver*///未文档化的函数->通过名字获取设备对象NTKERNELAPINTSTATUSObReferenceObjectByName(IN PUNICODE_STRING ObjectName,IN ULONG Attributes,IN PACCESS_STATE PassedAccessState OPTIONAL...
VB 驱动加载类(直接使用NtLoadDriver加载方式)
chenhui530的专栏
11-21 5918
加载驱动需要有加载驱动的权限使用前先加载“SE_LOAD_DRIVER_PRIVILEGE”权限 Option ExplicitPrivate Const STATUS_IMAGE_ALREADY_LOADED = Private Const HKEY_CLASSES_ROOT = Private Const HKEY_CURRENT_USER = Priv
[驱动][转载] 使自己的驱动无法卸载(包括Xuetr
Sprite雪碧
10-14 889
void MyDriverUnload(IN PDRIVER_OBJECT DriverObject) { DriverObject-&gt;DriverSection = NULL; } 代码就一行  大家一看都懂   没啥解释的 马克一下   (转载自:https://blog.youkuaiyun.com/OSReact/article/details/7738564)...
非常好用的XueTr-驱动开发,底层开发等等的好助手
duhaomin的专栏
12-06 1406
点击下载XueTr0.39 这个是XP版本的,而据我所知,这个软件是个人开发,不是商业开发,也是作为练习学习而边学边开发的,所以大家就不要要求跟商业破解版那样,毕竟人家不要钱,Win732位的也有,可以自己找一下,使用它,可以找到软件被谁钩住,进程,内核模块,注册表信息,DPC定时器等等很棒的功能,研究底层、驱动、内核之类的朋友一定会喜欢的。
PCHunter_v1.56-强删文件工具
03-31
PCHunter_v1.56是一款能够强制删除文件的软件,通常用在某个要删除的文件被某个不知名的进程占用而锁死,如果手动删除那就先要找到是哪个程序占用了该文件,会很繁琐,而该软件可以强制删除
隐藏驱动完整攻略(猥琐篇)
blackbean的专栏
09-20 4610
基础篇里说的那些东西搞完以后,任何正常的位置都找不到我们的Driver了,此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且,基础篇讲的那些东西,因为都是M$定好的一些格式和位置,代码怎么写都差不多,固定的路子而已。而抹PE镜像或抹DriverObjec
不进安全模式卸载驱动
01-31
附件中的“XueTr.exe”可能是一个用于辅助卸载驱动的工具,而“说明.jpg”则可能是提供详细操作指南的图片。在使用任何未知的可执行文件之前,确保它是来自可靠来源,并且已经用杀毒软件检查过,以防止恶意软件。 ...
驱动卸载工具.rar
07-29
1. **驱动备份**:在卸载驱动前,XueTr可能会提供驱动备份功能,确保用户在卸载后可以恢复到之前的状态,防止因驱动问题导致硬件无法使用。 2. **驱动卸载**:工具的核心功能是对选定的驱动程序进行安全卸载。它能...
gameguard流氓驱动卸载
01-28
此时,"GameGuard 流氓驱动卸载器"就派上了用场,它可以安全、有效地卸载可能导致问题的GameGuard驱动,让游戏可以正常运行。 在使用"GameGuard 流氓驱动卸载器"时,用户需要首先确定游戏登陆失败是由于GameGuard...
XueTr 0.37:全面的系统进程和驱动信息管理工具
根据提供的信息,我们可以生成以下知识点: ...通过以上知识点的阐述,我们可以了解XueTr工具是一款具有丰富系统监控、安全分析、故障排除功能的软件工具,其功能覆盖了从常规进程管理到高级内核调试的广泛范围。
深入解析XueTr:Windows内核分析与调试工具
最新发布
weixin_32456485的博客
10-07 1643
本文还有配套的精品资源,点击获取 简介:XueTr是一款为Windows内核研究和调试设计的工具,v0.39版本提供强大的内核调试、内存分析、系统调用监控等功能。工具包括进程和线程管理、注册表分析、文件系统监控等模块,可用于系统性能优化和问题排查。本工具适用于软件开发者、系统管理员、安全研究人员,是Windows系统分析和调试的重要助手。 1. XueTr工具概述与版...
Xuetr ark 工具
02-18
xuetr ark 内核
XueTr XueTr
08-27
XueTrXueTrXueTrXueTrXueTrXueTrXueTrXueTrXueTrXueTrXueTr
xuetr使用注意笔记
kernweak的博客
06-25 2169
1.查看进程模块,观察dll可以看谁注入了他。 2.查看进程的线程,列出线程,如果是红色线程,说明不在任何模块内。 3.驱动模块会把所有当前驱动列出,比较重要的是加载顺序,如果木马驱动也会在这显示。 4.内核部分比较重要的是系统回调 其中LoadImage很多木马会放止安全软件,会在LoadImage检测,在这里进行patch。cmpCallback注册表回调。如果注册表禁止操作,很...
xuetr的使用
彬彬和他的程序之旅
12-25 1121
xuetr的使用
ARK(xuetr)与Rootkit
P_优快云_Sam的博客
09-10 1065
xuetr是2008年推出以来的一款广受好评的ARK工具。 那么什么是ARK工具呢? ARK:Anti Rootkit 反Rootkit(反内核) 用来对抗Rootkit的一种技术 ARK工具就是用来对抗Rootkit的工具 那新问题又来了—什么又是Rootkit? Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Roo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值