搜素隐藏驱动的一个BSOD问题

最新推荐文章于 2025-10-13 20:16:39 发布
原创 最新推荐文章于 2025-10-13 20:16:39 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#module #null #thread #struct #file #存储

作者分享了调试驱动过程中遇到的问题及解决方案,包括内存访问错误、内存分配不足等,并介绍了将功能封装成LIB的方法。
 

以前没做过,所以尝试一下,摸索中BSOD了N久, 今天终于有时间调试驱动,于是花了2个小时解决掉了.

细节问题总结下,以警示自己:
   1. 犯下了一个低级错误,导致在内存访问上出问题,在那个Lib封装函数中,把计数i调整成局部变量即可.
   2. 发IOCTL中,拷贝数据时分配的内存不够导致出现乱码
   3. 驱动中代码流程要明晰,容错处理要强大,以便即时发现出错代码,跟进调试

VOID
Thread_SearchHiddenSys (
     IN PVOID StartContext
     )
{
    ULONG i;
   
    // 初始化信息,分配内存
     g_Event_SearchHiddenSys = ExAllocatePool( NonPagedPool, sizeof(KEVENT) );
     g_Event_SearchHiddenSys_completed = ExAllocatePool( NonPagedPool, sizeof(KEVENT) );
     psudami = (PMODULE_INFOR)ExAllocatePoolWithTag( NonPagedPool, 300*sizeof(MODULE_INFOR),'suda' );

     KeInitializeEvent(g_Event_SearchHiddenSys, NotificationEvent, FALSE);
     KeInitializeEvent(g_Event_SearchHiddenSys_completed, NotificationEvent, FALSE);
    memset( (PVOID)psudami, 0, 150*sizeof(MODULE_INFOR) );


    // 若申请内存失败,则退出系统进程
    if ( !g_Event_SearchHiddenSys || !g_Event_SearchHiddenSys_completed /*|| !psudami*/ ) {

         ExFreePool( g_Event_SearchHiddenSys );     
         ExFreePool( g_Event_SearchHiddenSys_completed );

        if ( psudami ) {
             ExFreePool(psudami) ;
         }

         DbgPrint("SearchHidenSys - ExAllocatePool(g_Event_SearchHiddenSys) failed/n");
         PsTerminateSystemThread( STATUS_SUCCESS );
     }


    while (TRUE) {

        // 系统线程结束时要清理申请的内存
        if ( FALSE == g_bRepeat_SearchHiddenSys ) {
             DbgPrint("SearchHidenSys - Terminate Our Thread");

             ExFreePool( g_Event_SearchHiddenSys );
             ExFreePool( g_Event_SearchHiddenSys_completed );

            if ( psudami ) {
                 ExFreePool(psudami) ;
             }

             PsTerminateSystemThread( STATUS_SUCCESS );
         }

        // 循环一次,便重新设置EVENT为"未受信"状态.让线程等待激活
         KeClearEvent( g_Event_SearchHiddenSys );
         KeClearEvent( g_Event_SearchHiddenSys_completed );

    //     DbgPrint("SearchHidenSys - I'm Waiting.../n");
        // 等待事件,一直到"受信"状态
         KeWaitForSingleObject( g_Event_SearchHiddenSys, Executive,
             KernelMode, FALSE, NULL );

        if ( NULL == psudami ) {
             DbgPrint("SearchHidenSys - ExAllocatePoolWithTag Failed/n");
         } else {
            memset( (PVOID)psudami, 0, 300*sizeof(MODULE_INFOR) );
             SearchHidenSys( psudami, 0 ) ;

        //     DbgPrint("SearchHidenSys - Already done/n");
             KeSetEvent( g_Event_SearchHiddenSys_completed, 0, FALSE ); // 设置为“受信”状态,唤醒等待者
         }
     }
}

现在越来越喜欢把常用函数封装到Lib里面,再供其他模块频繁调用了,于是把这个小模块的功能封装成了LIB,我的头文件格式是这样写的,贴一下, 方便诸位参考,具体代码可参见Debugman上MJ发的搜索隐藏驱动的Demo,无壳无花,拖到IDA中就是code了,然后自己整合下,就可用于自己的程序啦:

#ifndef _MSKQ_H
#define _MSKQ_H 1

#include <ntddk.h>

#ifdef __cplusplus
extern "C" {
#endif


/////////////////////////////////////////////////////////////////////

typedef struct _MODULE_INFOR {
  CHAR   ImageName[255] ;  // 模块全路径
  PVOID   Base ;            // 模块基址
  ULONG   Size ;            // 模块大小
  BOOL   bIsHiden ;        // 是否是隐藏模块
} MODULE_INFOR, *PMODULE_INFOR;


;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
VOID SearchHidenSys(
   PMODULE_INFOR pModuleInfor,
  BOOL bPrintAll
   );
/*++

Author: sudami [sudami@163.com]
Time   : 2008/09/16 [16:9:2008 - 21:26]

Routine Description:
     lib调用接口,负责搜索内核空间,寻找尽可能多的PE特征,让你抹掉了也可以找到隐藏的驱动. 其他模块调用此函数时:

     // 调用语句
     PMODULE_INFOR psudami ;

     psudami = (PMODULE_INFOR)ExAllocatePoolWithTag(0,200*sizeof(MODULE_INFOR),'suda');
     if ( NULL == psudami ) {
       DbgPrint("SearchHidenSys - ExAllocatePoolWithTag Failed/n");
     } else {
       SearchHidenSys( psudami, TRUE ) ;
     }

       // 驱动卸载时必须释放申请的内存:
     if ( psudami ) {
       ExFreePool(psudami) ;
     }
  
   这个Lib主要把信息收集起来,其他模块调用完后,可传到R3,显示出来
    
Arguments:

     pModuleInfor - [IN][OUT] 传进来的结构体指针,负责存储模块信息(ImageName, Base, Size)

   bPrintAll - [IN] 是否打印出查找到的信息

Return Value:

--*/

/////////////////////////////////////////////////////////////////////


#ifdef __cplusplus
}
#endif

#endif

///////////////////////////////    END OF FILE    ///////////////////////////////

另外,明天是自己入职某公司进行实习的第一天,该好好表现了...

----------------------------------------------

PS: 相关链接请参考这里:

VXK:有关驱动隐藏的一点事情
http://www.debugman.com/read.php?tid=1993&page=e&#a
Windows 上遇到蓝屏错误(BSOD)?解决 Windows 蓝屏错误的方法
2301_79326254的博客
09-30 2912
当出现蓝屏错误时,Windows 会显示一个包含错误代码和错误描述的蓝色屏幕,以及有时会收集有关错误的详细信息。下面将介绍几种常见的蓝屏错误类型以及修复它们的方法。当出现蓝屏错误时,Windows 会显示一个包含错误代码和错误描述的蓝色屏幕,以及有时会收集有关错误的详细信息。这个错误通常表示 Windows 无法访问启动设备,可能是由于硬盘驱动程序错误、硬盘故障或引导管理器配置错误引起的。这个错误通常表示 Windows 无法访问启动设备,可能是由于硬盘驱动程序错误、硬盘故障或引导管理器配置错误引起的。
蓝屏错误 (Blue Screen of Death, BSOD) 的原因及编程方面的解析
SVIPCODE的博客
09-22 258
蓝屏错误可能由多种原因引起,包括硬件故障、驱动程序问题、系统文件损坏或错误的操作等。在本文中,我们将深入探讨蓝屏错误的原因,并探讨一些与编程相关的解决方案。综上所述,蓝屏错误可能由多种原因引起,包括硬件故障、驱动程序问题、系统文件损坏或错误的操作等。通过理解蓝屏错误的原因并采取相应的措施,我们可以更好地保护计算机系统的稳定性和安全性。如果驱动程序存在问题,比如过时的驱动程序、不兼容的驱动程序或损坏的驱动程序,就可能导致蓝屏错误的发生。某些蓝屏错误可能是由错误的操作或编程错误引起的。在上面的代码中,指针。
BSOD
weixin_34401479的博客
09-16 966
电脑蓝屏,又叫蓝屏死机(Blue Screen of Death,缩写为:BSoD),指的是微软Windows操作系统在无法从一个系统错误中恢复过来时所显示的屏幕图像。   1、故障检查信息   ***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)   KMODE_EXCEPTION_NOT_HA...
BSOD 0x00000133
u011156900的博客
05-16 672
https://support.microsoft.com/en-us/help/3029348/
Windows 蓝屏 (BSOD) 完全排查指南
最新发布
lihui261431的博客
10-13 3732
Windows 蓝屏(Blue Screen of Death,简称 BSOD),官方称为"停止错误 (Stop Error)“或"错误检查 (Bug Check)”,是 Windows 的一种自我保护机制。Windows 蓝屏问题的排查是一个系统性的过程,需要耐心和逻辑。收集线索(BlueScreenView + 事件查看器 + 可靠性监视器) -> 分析嫌疑人(驱动/更新/硬件) -> 逐一验证(软件修复 -> BIOS 设置 -> 硬件测试) -> 终极方案(重装系统)更新或回滚驱动程序。
BSOD及代码详解
zhongyhc的专栏
10-21 1805
BSoD,Blue Screen of Death,即蓝屏死机。 微软操作系统的经典死机提示屏幕。通常是由于工作在Ring0级的内核程序出错导致的,比如内核程序访问了不可访问的内存会立即导致BSoD。 Windows蓝屏错误代码详解编辑 蓝屏错误代码祥解我们在使用Windows的时候,出现蓝屏是经常的事。大多数时候,我们只能reset,现在公布蓝屏错误代码含义,以备使用。 数 值 叙
BSOD 又见BSOD。。。。
weixin_34235371的博客
04-20 165
纪念下。。。2009-4-20-19:41于公司 调试 KeInsertQueueApc.sys 。。。。 转载于:https://www.cnblogs.com/herso/archive/2009/04/20/1439891.html
SMBv3 BSoD 0day
arthur2612的博客
02-07 204
Nice BSoD in mrxsmb20.sys SMBv3 0day, Windows 2012, 2016 affected, have fun ???? Oh&if you understand this poc, bitching SDLC is appropriate ????https://t.co/xAsDOY54yl — Responder (@PythonRespond...
驱动开发:BSOD 0xC4_f6 句柄问题
wull_的博客
09-19 420
刚接触驱动开发经验太少,被BSOD 0xC4_f6蓝屏问题困扰了几天,最后在论坛问到了原因。 下面记录问题及解决办法。 问题: 同样的驱动某一天在虚拟机中跑直接导致了蓝屏,只要开启就会蓝屏。 利用windbg分析dump文件,查看堆栈得知是调用到ZwQuerySymbolicLink函数时出的问题 再查找 0xC4_f6的bug信息,得知是驱动程序将用户模式的句柄引用为内核模式。 找了半天也没理...
驱动级进程保护 隐藏 注入
08-04
1. HideToolz.exe:这可能是一个工具的可执行文件,根据标题和描述,它可能是一个用于驱动级进程保护和隐藏注入的工具,可能具有隐藏自身、保护系统进程以及防止恶意注入的功能。 2. 说明.txt:这个文件可能是关于...
win10 64 免费可用的.驱动进程隐藏工具.不蓝屏的
12-16
不蓝屏的”表明我们讨论的是一个适用于Windows 10 64位系统的免费软件,它的主要功能是隐藏驱动进程,而且在使用过程中不会导致操作系统蓝屏(Blue Screen of Death,简称BSOD)。在Windows操作系统中,驱动程序是...
驱动开发:BSOD 0x7E(8000003)或命中断点卡住,__security_init_cookie导致
wull_的博客
07-28 1038
这两天在学hook的时候,写了一个很简单的测试驱动,结果发现在x86能正常运行,而到了x64就直接蓝屏了(签名正常),这个时候双机调试发现连DriverEntry函数都没进去,直接在__security_init_cookie函数就跳到KeBugCheck了。 ******************************************************************************* *
Fake-BSod:死亡蓝屏(Win10版)
04-29
"Fake-BSod:死亡蓝屏(Win10版)"这一主题主要涉及到Windows操作系统中的一个常见问题,即“蓝屏”(Blue Screen of Death,简称BSOD)。在Windows 10系统中,用户可能会遇到一种名为“假死蓝屏”的情况,这并不是...
【转载】分析Windows的死亡蓝屏(BSOD)机制
danxuezx的专栏
02-20 2817
对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制。蓝屏其实是Windows系 统的一种自查机制,一但系统发现自己哪里有些不对劲后就立即抛出蓝屏,来阻止错误蔓延。倘若没有蓝屏机制,那么可能很小的一个错误最后会不断的酝酿导致系 统数据损坏的严重后果。而事实上因为Windows系统自身导致的蓝屏其实是少之又少的,更多的蓝屏诱因是各种驱动程序,因为作者个人对Rootkit类 程序感兴趣,因此在平时的学习过程中深感各种不良的内核HOOK或者过滤驱动是诱发蓝屏的小能手。当然不符合微软规定
onopendocument下设置文件过滤_蓝屏(BSOD)转储设置,看本文就够了!
weixin_39587407的博客
12-04 160
前言 我们在 内核转储,开抓啦! 这篇文章里介绍了一个关键的系统设置。设置好后可以让系统在蓝屏(Blue Screen of Death,简称 BSOD)的时候自动保存转储文件。那篇文章只是简单的介绍了设置步骤,本文力求详细的介绍相关内容。我们先根据下面的动图回顾一下设置步骤:不知道大家有没有想过这些设置保存在哪里了呢?我猜保存在注册表里。是不是呢?我们一起来看看吧。保存位置 为了找到这些设置保存...
bsod错误代码。_如何解决BSOD(蓝屏死机)和Windows Stop错误?
cunchi8090的博客
07-18 2870
bsod错误代码。 If you get a (Blue Screen of Death), your system writes a small file called a minidump. 如果出现(蓝屏死机),则系统将写入一个称为minidump的小文件。 Your first step is to ma...
Blue Screen Of Death ( BSOD ) 错误信息解析解释
孤剑之家
06-16 2381
这几天是我们毕业设计最后的也是最紧张的时间,但是今天我很幸运,和老师交流了一下,下个礼拜的周三我们的开始答辩了,不过我相信答辩我应该是不怕什么的。而且我相信我也能胜利。因为我自信。
虫趣:FAST_MUTEX死锁
张佩的技术库
10-30 5506
问题到此可告一段落了: 线程1在处理IRP_MJ_POWER的时候,试图获取一个FAST_MUTEX同步对象,但因获取失败而进入休眠状态(并因休眠过久,而导致BSOD)。 在成功获取FAST_MUTEX对象的地址后,从它的结构体中得到了当前拥有此同步对象的线程2地址。 切换到线程2,发现线程2有一个无法处理的页错误,也同样处于等待状态中。
BSOD_0X9F
weixin_42308232的博客
01-17 3363
Microsoft ® Windows Debugger Version 10.0.17134.1 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [D:\Temp\BSOD\3Nod\MEMORY0926.DMP] Kernel Bitmap Dump File: Full addre...
驱动级别隐藏进程源代码修复与优化
该源代码最初是从优快云下载的,后来进行了部分修改,修复了两个主要问题一个是某些机器上运行时会导致蓝屏(Blue Screen of Death,BSOD),另一个是存在内核内存泄漏(Kernel Memory Leak)问题,通常在半天后会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值