根据特征码找到未导出的内核函数 PspTerminateProcess

最新推荐文章于 2023-04-28 14:38:48 发布
原创 最新推荐文章于 2023-04-28 14:38:48 发布 · 1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #驱动程序 #内核

本文介绍了一种使用壳代码在内存中搜索特定内核函数地址的方法,通过遍历指定地址范围,比对壳代码与目标函数的签名,实现对内核函数如终止进程的定位。文章展示了具体的C语言实现代码,包括如何定义函数类型、结构体以及遍历内存的算法。

使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题

#include <ntifs.h>
typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus);

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID      DllBase;
	PVOID      EntryPoint;
	ULONG32    SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	UINT32   Unknow[17];

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

VOID __stdcall UnLoad(PDRIVER_OBJECT pDriver) {
	DbgPrint("Driver 卸载成功\r\n");
}
PVOID FindFunByShellcode(UINT32 startAddr, PUINT32 shellcode,UINT32 length) {

	UINT32 addrRange = 0x100000;

	for (int i = 0; i < addrRange; i++) {
		PUINT32 temp = (PUINT32)(startAddr + i);
		if (*temp == shellcode[0]) {
			PVOID retValue = temp;
			for (int j = 1; j < length; j++) {
				temp++;
				if (*temp == shellcode[j]) {
					if (j == (length-1)) {
						DbgPrint("Function Found Address:%x\r\n", temp);
						return retValue;
					}
					continue;
				} else {
					break;	
				}
			}
		}
	}
	DbgPrint("404 Function Not Found\r\n");
	return NULL;
}
VOID FindFunByShellcodeTest() {
	UINT32 shelcode[8] = { 0x8b55ff8b, 0xa16456ec, 0x00000124, 0x3b08758b, 0x07754470, 0x00000db8, 0x575aebc0, 0x0248be8d };
	pFunTerminateProcess TerminateProcess = FindFunByShellcode(0x805C0000, shelcode, 8);
	PEPROCESS hProcess;
	//PsLookupProcessByProcessId 根据PID获取句柄
	if (PsLookupProcessByProcessId((HANDLE)1388, &hProcess) == STATUS_SUCCESS) {
		TerminateProcess(hProcess, 0);
	} else {
		DbgPrint("404 Not Found\r\n");
	}
	
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath) {
	pDriver->DriverUnload = UnLoad;
	//PrintKernelModule(pDriver);
	FindFunByShellcodeTest();
	return STATUS_SUCCESS;
}
123qweqew
关注
内核特征码搜索 获取导出函数
zhuhuibeishadiao
06-19 3942
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
进程强杀探究
hongduilanjun的博客
03-07 2360
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
寻找导出函数函数地址
weixin_30433075的博客
04-19 513
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
win10 x64获取导出内核函数地址
吾无法无天的博客
03-18 2448
用Sunday算法进行特征码匹配 .h文件: //系统信息类 typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation = 0, //系统的基本信息 SystemProcessorInformation, // obsolete...delete SystemPerformanceI...
03 特征码搜索PspTerminateProcess函数、隐藏驱动模块
qq_50242229的博客
04-28 504
函数地址。
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 368
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1469
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
进程强杀
zhuhuibeishadiao
04-04 2902
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread导出函数 暴力搜索 特征值 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
6.ring0与ring3通信
Mikasys的博客
10-27 688
0x6 ring0与ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
************* Preparing the environment for Debugger Extensions Gallery repositories ************** ExtensionRepository : Implicit UseExperimentalFeatureForNugetShare : true AllowNugetExeUpdate : true NonInteractiveNuget : true AllowNugetMSCredentialProviderInstall : true AllowParallelInitializationOfLocalRepositories : true EnableRedirectToChakraJsProvider : false -- Configuring repositories ----> Repository : LocalInstalled, Enabled: true ----> Repository : UserExtensions, Enabled: true >>>>>>>>>>>>> Preparing the environment for Debugger Extensions Gallery repositories completed, duration 0.015 seconds ************* Waiting for Debugger Extensions Gallery to Initialize ************** >>>>>>>>>>>>> Waiting for Debugger Extensions Gallery to Initialize completed, duration 0.016 seconds ----> Repository : UserExtensions, Enabled: true, Packages count: 0 ----> Repository : LocalInstalled, Enabled: true, Packages count: 45 Microsoft (R) Windows Debugger Version 10.0.27920.1001 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [D:\CTF\music\[Misc]我不要革命失败\071825-14921-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available ************* Path validation summary ************** Response Time (ms) Location Deferred srv* Symbol search path is: srv* Executable search path is: Windows 10 Kernel Version 22621 MP (32 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Personal Edition build lab: 22621.1.amd64fre.ni_release.220506-1250 Kernel base = 0xfffff803`17200000 PsLoadedModuleList = 0xfffff803`17e130c0 Debug session time: Fri Jul 18 22:35:54.900 2025 (UTC + 8:00) System Uptime: 0 days 0:35:21.567 Loading Kernel Symbols ............................................................... ................................................................ ................................................................ ........................................ Loading User Symbols Loading unloaded module list ...................... For analysis of this file, run !analyze -v nt!KeBugCheckEx: fffff803`17612740 48894c2408 mov qword ptr [rsp+8],rcx ss:0018:fffffc01`fe187860=00000000000000ef 14: kd> !analyze -v Loading Kernel Symbols ............................................................... ................................................................ ................................................................ ........................................ Loading User Symbols Loading unloaded module list ...................... ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* CRITICAL_PROCESS_DIED (ef) A critical system process died Arguments: Arg1: ffffd18e9cfbc140, Process object or thread object Arg2: 0000000000000000, If this is 0, a process died. If this is 1, a thread died. Arg3: ffffd18e9cfbc140, The process object that initiated the termination. Arg4: 0000000000000000, Additional triage data. Debugging Details: ------------------ KEY_VALUES_STRING: 1 Key : Analysis.CPU.mSec Value: 1718 Key : Analysis.Elapsed.mSec Value: 5022 Key : Analysis.IO.Other.Mb Value: 0 Key : Analysis.IO.Read.Mb Value: 1 Key : Analysis.IO.Write.Mb Value: 0 Key : Analysis.Init.CPU.mSec Value: 453 Key : Analysis.Init.Elapsed.mSec Value: 284292 Key : Analysis.Memory.CommitPeak.Mb Value: 113 Key : Analysis.Version.DbgEng Value: 10.0.27920.1001 Key : Analysis.Version.Description Value: 10.2506.23.01 amd64fre Key : Analysis.Version.Ext Value: 1.2506.23.1 Key : Bugcheck.Code.LegacyAPI Value: 0xef Key : Bugcheck.Code.TargetModel Value: 0xef Key : CriticalProcessDied.ExceptionCode Value: 0xa422e080 Key : CriticalProcessDied.Process Value: svchost.exe Key : Failure.Bucket Value: 0xEF_svchost.exe_BUGCHECK_CRITICAL_PROCESS_a422e080_nt!PspCatchCriticalBreak Key : Failure.Hash Value: {139516e8-a181-e0a0-49d2-c73372114d37} Key : Hypervisor.Enlightenments.ValueHex Value: 0x1417df84 Key : Hypervisor.Flags.AnyHypervisorPresent Value: 1 Key : Hypervisor.Flags.ApicEnlightened Value: 0 Key : Hypervisor.Flags.ApicVirtualizationAvailable Value: 1 Key : Hypervisor.Flags.AsyncMemoryHint Value: 0 Key : Hypervisor.Flags.CoreSchedulerRequested Value: 0 Key : Hypervisor.Flags.CpuManager Value: 1 Key : Hypervisor.Flags.DeprecateAutoEoi Value: 1 Key : Hypervisor.Flags.DynamicCpuDisabled Value: 1 Key : Hypervisor.Flags.Epf Value: 0 Key : Hypervisor.Flags.ExtendedProcessorMasks Value: 1 Key : Hypervisor.Flags.HardwareMbecAvailable Value: 1 Key : Hypervisor.Flags.MaxBankNumber Value: 0 Key : Hypervisor.Flags.MemoryZeroingControl Value: 0 Key : Hypervisor.Flags.NoExtendedRangeFlush Value: 0 Key : Hypervisor.Flags.NoNonArchCoreSharing Value: 1 Key : Hypervisor.Flags.Phase0InitDone Value: 1 Key : Hypervisor.Flags.PowerSchedulerQos Value: 0 Key : Hypervisor.Flags.RootScheduler Value: 0 Key : Hypervisor.Flags.SynicAvailable Value: 1 Key : Hypervisor.Flags.UseQpcBias Value: 0 Key : Hypervisor.Flags.Value Value: 21631230 Key : Hypervisor.Flags.ValueHex Value: 0x14a10fe Key : Hypervisor.Flags.VpAssistPage Value: 1 Key : Hypervisor.Flags.VsmAvailable Value: 1 Key : Hypervisor.RootFlags.AccessStats Value: 1 Key : Hypervisor.RootFlags.CrashdumpEnlightened Value: 1 Key : Hypervisor.RootFlags.CreateVirtualProcessor Value: 1 Key : Hypervisor.RootFlags.DisableHyperthreading Value: 0 Key : Hypervisor.RootFlags.HostTimelineSync Value: 1 Key : Hypervisor.RootFlags.HypervisorDebuggingEnabled Value: 0 Key : Hypervisor.RootFlags.IsHyperV Value: 1 Key : Hypervisor.RootFlags.LivedumpEnlightened Value: 1 Key : Hypervisor.RootFlags.MapDeviceInterrupt Value: 1 Key : Hypervisor.RootFlags.MceEnlightened Value: 1 Key : Hypervisor.RootFlags.Nested Value: 0 Key : Hypervisor.RootFlags.StartLogicalProcessor Value: 1 Key : Hypervisor.RootFlags.Value Value: 1015 Key : Hypervisor.RootFlags.ValueHex Value: 0x3f7 Key : WER.OS.Branch Value: ni_release Key : WER.OS.Version Value: 10.0.22621.1 Key : WER.System.BIOSRevision Value: 5.27.0.0 BUGCHECK_CODE: ef BUGCHECK_P1: ffffd18e9cfbc140 BUGCHECK_P2: 0 BUGCHECK_P3: ffffd18e9cfbc140 BUGCHECK_P4: 0 FILE_IN_CAB: 071825-14921-01.dmp FAULTING_THREAD: ffffd18ea422e080 PROCESS_NAME: svchost.exe CRITICAL_PROCESS: svchost.exe ERROR_CODE: (NTSTATUS) 0xa422e080 - <Unable to get error code text> BLACKBOXBSD: 1 (!blackboxbsd) BLACKBOXNTFS: 1 (!blackboxntfs) BLACKBOXPNP: 1 (!blackboxpnp) BLACKBOXWINLOGON: 1 (!blackboxwinlogon) CUSTOMER_CRASH_COUNT: 1 STACK_TEXT: fffffc01`fe187858 fffff803`17bb417b : 00000000`000000ef ffffd18e`9cfbc140 00000000`00000000 ffffd18e`9cfbc140 : nt!KeBugCheckEx fffffc01`fe187860 fffff803`17afcccb : ffffd18e`9cfbc140 00000000`00000002 00000000`00000000 fffff803`1749b62f : nt!PspCatchCriticalBreak+0x11b fffffc01`fe1878f0 fffff803`17923f7b : ffffd18e`9cfbc140 00000000`c0000374 ffffd18e`9cfbc140 00000000`00000000 : nt!PspTerminateAllThreads+0x14f54b fffffc01`fe187960 fffff803`17923d51 : ffffffff`ffffffff ffffd18e`9cfbc140 ffffd18e`a422e080 ffffd18e`9cfbc140 : nt!PspTerminateProcess+0xe7 fffffc01`fe1879a0 fffff803`176274e5 : ffffd18e`00001248 ffffd18e`a422e080 ffffd18e`9cfbc140 ffffffff`f70f2e80 : nt!NtTerminateProcess+0xb1 fffffc01`fe187a20 00007ffc`0a80f974 : 00007ffc`0a87c890 00007ffc`0a8da86c 000000c8`8fb7b760 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25 000000c8`8fb7a6c8 00007ffc`0a87c890 : 00007ffc`0a8da86c 000000c8`8fb7b760 00000000`00000000 00000000`00000000 : 0x00007ffc`0a80f974 000000c8`8fb7a6d0 00007ffc`0a8da86c : 000000c8`8fb7b760 00000000`00000000 00000000`00000000 00000000`0010c849 : 0x00007ffc`0a87c890 000000c8`8fb7a6d8 000000c8`8fb7b760 : 00000000`00000000 00000000`00000000 00000000`0010c849 00007ffc`0a7ff1b7 : 0x00007ffc`0a8da86c 000000c8`8fb7a6e0 00000000`00000000 : 00000000`00000000 00000000`0010c849 00007ffc`0a7ff1b7 000000c8`8fb7a800 : 0x000000c8`8fb7b760 SYMBOL_NAME: nt!PspCatchCriticalBreak+11b MODULE_NAME: nt IMAGE_NAME: ntkrnlmp.exe IMAGE_VERSION: 10.0.22621.2428 STACK_COMMAND: .process /r /p 0xffffd18e9cfbc140; .thread 0xffffd18ea422e080 ; kb BUCKET_ID_FUNC_OFFSET: 11b FAILURE_BUCKET_ID: 0xEF_svchost.exe_BUGCHECK_CRITICAL_PROCESS_a422e080_nt!PspCatchCriticalBreak OS_VERSION: 10.0.22621.1 BUILDLAB_STR: ni_release OSPLATFORM_TYPE: x64 OSNAME: Windows 10 FAILURE_ID_HASH: {139516e8-a181-e0a0-49d2-c73372114d37} Followup: MachineOwner --------- 指出崩溃类型(即蓝屏显示的终止代码)_故障进程
最新发布
09-23
PspCatchCriticalBreak`函数内核态进程管理) - 错误代码`0xa422e080`可能关联进程内部异常[^3] 常见修复建议: 1. 使用`sfc /scannow`扫描系统文件 2. 检查事件查看器相关错误日志 3. 更新系统及安全补丁(历史...
驱动开发:内核特征码搜索函数封装
热门推荐
优快云
10-17 2万+
在前面的系列教程如`《驱动开发:内核枚举DpcTimer定时器》`或者`《驱动开发:内核枚举IoTimer定时器》`里面`LyShark`大量使用了`特征码定位`这一方法来寻找符合条件的`汇编指令`集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代码,本章内容中将重点分析,并实现一个`通用`特征定位函数
inline hook导出函数PspTerminateProcess
04-14 1686
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
如何调用内核导出函数
weixin_36145588的博客
06-04 2514
如何获取内核导出函数地址从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。当我们写驱动时,如果想调用一个并导出函数时,我们可以使用如下办法:以get_request函数为例,该函数原型为:static struct request *
获取导出内核函数地址
09-10 2234
使用导出内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
获取内核导出函数地址
 ̄Newly_Coder's | Notes
12-13 3654
ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature) { NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
内核函数 特征码定位
09-04 537
ULONG sao1()//DbgkCopyProcessDebugPort { UCHAR *p1 = (UCHAR*)jizhi_neihe; UCHAR *p2 = NULL; UCHAR n1 = 0; for (ULONG i = 0; i <= (ULONG)daxiao_neihe; i++) { if (MmIsAddressValid(p1 + i)) {
PspTerminateProcess 结束冰刃进程
坦然
08-14 1410
代码: #include typedef NTSTATUS (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus ); PSPTERPROC MyPspTerminateProcess ; NTSTATUS PsLookupProcessByProcessId( IN HAND
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值