驱动-遍历驱动、隐藏驱动

最新推荐文章于 2024-10-28 14:09:58 发布
最新推荐文章于 2024-10-28 14:09:58 发布
阅读量818 收藏 1
点赞数 1
文章标签: 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chengtoreal/article/details/114404234
版权 
//自定义消息
#define Ergodicdrivelist CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_IN_DIRECT, FILE_ANY_ACCESS )
#define Hidedriver CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_IN_DIRECT, FILE_ANY_ACCESS )
// 遍历驱动
void Ergodicdrivelistfun(PIRP Irp)
{
	PIO_STACK_LOCATION Stack = IoGetCurrentIrpStackLocation(Irp);

	// 通过当前驱动获取驱动链,指针指向的就是当前驱动在链表中对应的项
	PLDR_DATA_TABLE_ENTRY current = (PLDR_DATA_TABLE_ENTRY)g_DriverObject->DriverSection;
	PLDR_DATA_TABLE_ENTRY item = (PLDR_DATA_TABLE_ENTRY)g_DriverObject->DriverSection;

	// 获取输出缓冲区
	PVOID Buffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);

	PDRIVERINFO outbuff = (PDRIVERINFO)Buffer;
	// 跳过头节点
	current = current->InLoadOrderLinks.Flink;
	// 第一个
	item = (PLDR_DATA_TABLE_ENTRY)item->InLoadOrderLinks.Flink;
	item = (PLDR_DATA_TABLE_ENTRY)item->InLoadOrderLinks.Flink;

	// 循环链表的遍历,结束条件是遍历到的内容不是自己
	int index = 0;
	do {
		RtlZeroMemory(outbuff, sizeof(DRIVERINFO));
		RtlCopyMemory(outbuff->wcDriverBasePath, item->BaseDllName.Buffer, item->BaseDllName.Length);
		RtlCopyMemory(outbuff->wcDriverFullPath, item->FullDllName.Buffer, item->FullDllName.Length);
		outbuff->DllBase = item->DllBase;
		outbuff++;
		// 获取当前元素指向的下一个元素
		item = (PLDR_DATA_TABLE_ENTRY)item->InLoadOrderLinks.Flink;
		index++;
	} while (current != item);

	Irp->IoStatus.Information = 20;
}
// 隐藏驱动
void Hidedriverfun(PIRP Irp)
{
	// 指针指向的就是当前驱动在链表中对应的项
	PLDR_DATA_TABLE_ENTRY current = (PLDR_DATA_TABLE_ENTRY)g_DriverObject->DriverSection;
	PLDR_DATA_TABLE_ENTRY item = (PLDR_DATA_TABLE_ENTRY)g_DriverObject->DriverSection;

	// 获取输入缓冲区
	PVOID InBuff = Irp->AssociatedIrp.SystemBuffer;

	// 初始化字符串,获取要隐藏的驱动名
	UNICODE_STRING pHideDriverName = { 0 };
	RtlInitUnicodeString(&pHideDriverName, (PCWSTR)InBuff);
	do
	{
		if (RtlCompareUnicodeString(&item->BaseDllName, &pHideDriverName, FALSE) == 0)
		{
			//修改Flink和Blink指针,以跳过我们要隐藏的驱动
			//在驱动链中将当前驱动的上一个驱动的下级指针指向下一个驱动
			//再将下一个驱动的上级指针指向上一个驱动
			item->InLoadOrderLinks.Blink->Flink = item->InLoadOrderLinks.Flink;
			item->InLoadOrderLinks.Flink->Blink = item->InLoadOrderLinks.Blink;
			break;
		}
		item = item->InLoadOrderLinks.Flink;

	} while (item != current);
}

// 用于实现自定义的消息派遣函数
NTSTATUS DeviceIoControlDispatch(
	PDEVICE_OBJECT DeviceObject,		// 表示当前的消息是那个设备对象产生的
	PIRP Irp)							// IRP,对应的是三环程序的消息,保存了一些附加参数
{
	UNREFERENCED_PARAMETER(DeviceObject);
	PIO_STACK_LOCATION Stack = IoGetCurrentIrpStackLocation(Irp);

	// 设置消息的处理状态: 成功或失败 -> GetLastError
	Irp->IoStatus.Status = STATUS_SUCCESS;
	// 读取内容
	switch (Stack->Parameters.DeviceIoControl.IoControlCode)
	{
	// 遍历驱动
	case Ergodicdrivelist:
	{
		Ergodicdrivelistfun(Irp);
	}
	break;
	// 隐藏驱动
	case Hidedriver:
	{
		Hidedriverfun(Irp);
	}
	break;
	}
	// 通知操作已经完成,完成后不提高当前的 IRQL
	IoCompleteRequest(Irp, IO_NO_INCREMENT);


	return Irp->IoStatus.Status;
}
``
chengtoreal
关注
32位/64位WINDOWS驱动遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 810
遍历成功拿到了线程回调对象
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
遍历windows驱动
09-26 534
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名...
驱动遍历驱动
Misaka10046的博客
04-08 241
X86 win7 平台。
遍历驱动
cshcmqcsh的专栏
05-30 727
_driver_object成员DriverSection指向_ldr_data_table_entry,_ldr_data_table_entry储存了某一驱动的基址、文件名等信息。_ldr_data_table_entry 成员 InLoadOrderLinks 为一 _list_entry结构,储存了前、后_ldr_data_table_entry的地址,_ldr_data_table_entry通过此成员形成一双向链表。而系统所有已装入驱动都在这链表中有一结点。故遍历之,即可达到目的。
驱动遍历隐藏
Mikasys的博客
10-20 389
DRIVER_OBJECT 0: kd> dt _DRIVER_OBJECT nt!_DRIVER_OBJECT +0x000 Type : Int2B +0x002 Size : Int2B +0x008 DeviceObject : Ptr64 _DEVICE_OBJECT +0x010 Flags : Uint4B +0x018 DriverStart : Ptr64 Void
windowssdk编程系列文章28----遍历USB设备,获取扫描仪序列号[收集].pdf
10-12
Windowssdk编程系列文章28----遍历USB设备,获取扫描仪序列号 本文主要介绍了使用Windows SDK编程来遍历USB设备,获取扫描仪序列号的方法。通过了解USB设备的基本结构和通讯步骤,我们可以使用CreateFile和...
windowssdk编程系列文章28----遍历USB设备,获取扫描仪序列号借鉴.pdf
01-11
遍历USB设备、获取扫描仪序列号 在Windows SDK编程系列文章中,本篇文章主要介绍了如何遍历USB设备,并获取扫描仪序列号。下面是文章的详细解释和知识点。 USB设备的概述 USB(Universal Serial Bus)是一种串行...
易语言开发驱动-遍历Eprocess
11-21
本压缩包文件"遍历Eprocess"显然是一个基于易语言开发的驱动程序,其核心功能是遍历操作系统的EPROCESS结构。 在Windows操作系统中,EPROCESS是内核级的数据结构,用于表示进程。每个运行的进程都有一个对应的...
易语言-遍历窗口控件判断内容被改变
06-25
在易语言中,遍历窗口控件并判断其内容是否被改变是一项常见的任务,尤其在GUI(图形用户界面)编程中。这个任务通常涉及到事件驱动编程,以及对窗口和控件的深入理解。 窗口控件是构成应用程序用户界面的基本元素...
内存遍历工具(驱动版)
03-23
使用详细: 1.工具有一个隐含快捷键alt+f,这个快捷键的作用是选择窗口,选择了以后工具的区域1就会变成“窗口句柄+进程ID+进程句柄+OK”如果打开失败了,那就变成“error”了。 2.区域6的作用是显示遍历结果,这个窗口的数据不是时时更新的,并且软件关闭后不会记录,除右键菜单外还支持快捷操作 (1)左键双击-记录鼠标选择行所有信息到区域3(当前激活的) (2)DELETE-删除鼠标选择行 3.区域2的作用是归类当前TAB标签,可以在软件目录下opmem.ini文件设置其标签名称,方法为在“[setup]”下添加“char_tab1=人物信息”标签1就变成了人物信息,如果是“char_tab2”那么就是第二个标签的标题,这几个标签是可以切换的,且各自独立。 4.区域3的作用是分类记录已经分析完成的内存信息(这些信息重器软件是保存的),其中软件读取的地址为偏移栏目下的基址+偏移,除右键菜单外还支持DELETE键,还有就是内存锁定功能(把地址栏的勾打上),锁定功能这里要提及一下,软件会锁定你修改成的值,其它就没什么了。 5.区域4的作用是设置遍历参数,这个栏目属于最基础的,所以就不多说了,就是设置了信息然后单击开始遍历就可以了。 6.区域5的作用是设置过滤条件和信息,在这个栏目设置了以后电击开始过滤就会根据你设置的条件和信息对区域6的信息进行过滤,下面详细介绍每个过滤条件以及对应的过滤信息的设置。组1:单-过滤对象为区域6的单字信息,双-过滤对象为区域6的双字信息,四-过滤对象为区域6的四字信息,A-过滤对象为区域6的文本A信息,U-过滤对象为区域6的文本U信息 组2:%d-代表读取的内存信息用十进制表示 %x-代表读取的内存信息用十六进制表示 组3:大-过滤条件是比搜索1框内输入数字大的保留,小于或等于的删除,小-过滤条件是比搜索1框内输入数字小的保留,大于或等于的删除,间-过滤条件是比搜索1框内输入数字小或者比搜索2框内输入数字大的删除,其余的保留,等-过滤条件是等于搜索1框内输入数字的保留,其余的删除,增-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据大于当前的则保留,其余的删除,减-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据小于当前的则保留,其余的删除 同-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的相同则保留,其余的删除,变-过滤条件是以当前读取的数据进行参考,重新读取偏移的地址,如果偏移地址的数据和当前的不相同则保留,其余的删除。 7.CALL相关这个按钮和开始搜索这个按钮的功能还没有写,在此希望哪位同行发一份CE的源码让我学习,我会增加CE的功能于这款软件
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
遍历windows驱动遍历对象目录的对象
03-05 2151
驱动都存在 \\Driver或者\\FileSystem目录对象里我们只需要遍历这两个目录就可以遍历windows所有驱动 知识点 \\Driver\\FileSystem(dt_OBJECT_DIRECOTRY)都属于ObpDirectoryObjectType(window内核全局变量)对象 其他对象全局变量可以参考作者:潘爱民书名:wind...
遍历驱动类型
09-30 405
#include"ntifs.h" typedef VOID(__stdcall FUNCT_00A4_0EDA_DumpProcedure) (VOID*, struct _OBJECT_DUMP_CONTROL*); typedef LONG32(__stdcall FUNCT_000F_0EE2_OpenProcedure) (enum _OB_OPEN_REASON, CHAR, st...
遍历所有驱动的名_根据本驱动对象的成员(DriverObject->DriverSection)_对应LDR_DATA_TABLE_ENTRY结构体_双向链表使用
01-27 3535
#include"ntddk.h" typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks;//这个成员把系统所有加载(可能是停止没被卸载)已经读取到内存中 我们关系第一个 我们要遍历链表 双链表 不管中间哪个节点都可以遍历整个链表 本驱动驱动对象就是一个节点 LIST_ENTRY InMemoryOrderL...
隐藏驱动完整攻略(基础篇)
blackbean的专栏
09-20 2653
完整介绍隐藏驱动的方法,部分内容属于冷饭热炒,炒一炒比较好消化~~ 先说一下,以下数据和结构信息来自Windbg+WinXP SP2 一、从PsLoadedModuleList消失 PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_
隐藏驱动的方法
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 773
以下内容来自www.rootkit.com Driver Hidding based on the following methods: 1.removing module form PsLoadedModuleList(that passed some old rkdectors) 2.removing object from ObjectDirectory(that bypassed
驱动——遍历
最新发布
weixin_48257887的博客
10-28 149
【代码】驱动——遍历
驱动隐藏
10-16 1512
 使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~吼吼~~最后
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值