根据特征码找到未导出的内核函数 PspTerminateProcess

最新推荐文章于 2022-10-17 11:40:51 发布
最新推荐文章于 2022-10-17 11:40:51 发布
阅读量1k 收藏 11
点赞数 8
CC 4.0 BY-SA版权
文章标签: c++ 驱动程序 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pluginL/article/details/108564946
本文介绍了一种使用壳代码在内存中搜索特定内核函数地址的方法,通过遍历指定地址范围,比对壳代码与目标函数的签名,实现对内核函数如终止进程的定位。文章展示了具体的C语言实现代码,包括如何定义函数类型、结构体以及遍历内存的算法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题

#include <ntifs.h>
typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus);

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID      DllBase;
	PVOID      EntryPoint;
	ULONG32    SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	UINT32   Unknow[17];

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

VOID __stdcall UnLoad(PDRIVER_OBJECT pDriver) {
	DbgPrint("Driver 卸载成功\r\n");
}
PVOID FindFunByShellcode(UINT32 startAddr, PUINT32 shellcode,UINT32 length) {

	UINT32 addrRange = 0x100000;

	for (int i = 0; i < addrRange; i++) {
		PUINT32 temp = (PUINT32)(startAddr + i);
		if (*temp == shellcode[0]) {
			PVOID retValue = temp;
			for (int j = 1; j < length; j++) {
				temp++;
				if (*temp == shellcode[j]) {
					if (j == (length-1)) {
						DbgPrint("Function Found Address:%x\r\n", temp);
						return retValue;
					}
					continue;
				} else {
					break;	
				}
			}
		}
	}
	DbgPrint("404 Function Not Found\r\n");
	return NULL;
}
VOID FindFunByShellcodeTest() {
	UINT32 shelcode[8] = { 0x8b55ff8b, 0xa16456ec, 0x00000124, 0x3b08758b, 0x07754470, 0x00000db8, 0x575aebc0, 0x0248be8d };
	pFunTerminateProcess TerminateProcess = FindFunByShellcode(0x805C0000, shelcode, 8);
	PEPROCESS hProcess;
	//PsLookupProcessByProcessId 根据PID获取句柄
	if (PsLookupProcessByProcessId((HANDLE)1388, &hProcess) == STATUS_SUCCESS) {
		TerminateProcess(hProcess, 0);
	} else {
		DbgPrint("404 Not Found\r\n");
	}
	
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath) {
	pDriver->DriverUnload = UnLoad;
	//PrintKernelModule(pDriver);
	FindFunByShellcodeTest();
	return STATUS_SUCCESS;
}
123qweqew
关注
内核特征码搜索 获取导出函数
zhuhuibeishadiao
06-19 3889
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
inline hook导出函数PspTerminateProcess
04-14 1664
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
寻找导出函数函数地址
weixin_30433075的博客
04-19 481
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 350
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
驱动开发:内核特征码搜索函数封装
优快云
10-17 2万+
在前面的系列教程如`《驱动开发:内核枚举DpcTimer定时器》`或者`《驱动开发:内核枚举IoTimer定时器》`里面`LyShark`大量使用了`特征码定位`这一方法来寻找符合条件的`汇编指令`集,总体来说这种方式只能定位特征较小的指令如果特征扩展到5位以上那么就需要写很多无用的代码,本章内容中将重点分析,并实现一个`通用`特征定位函数
进程强杀探究
hongduilanjun的博客
03-07 2271
前言 我们知道在windows操作系统里面有ring0跟ring3的概念(ring1、ring2在windows中并使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1381
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
进程强杀
zhuhuibeishadiao
04-04 2877
强杀进程 PsTerminateProcessPspTerminateProcess PspTerminateThreadByPointerPspExitThread导出函数 暴力搜索 特征 xp的 0x8B55ff8B 0xA16456EC 0x00000124 0x3B08758B 内核地址空间NtQueryXXX / AuxKlibQueryModuleInform
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6941
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
6.ring0与ring3通信
Mikasys的博客
10-27 652
0x6 ring0与ring0通信(常规方式) 1、设备对象 我们在开发窗口程序的时候,消息被封装成一个结构体:MSG,在内核开发时,消息被封装成另外一个结构体:IRP(I/O Request Package)。 在窗口程序中,能够接收消息的只能是窗口对象。在内核中,能够接收IRP消息的只能是设备对象。 2、交互数据的方式 3、创建符号链接 //创建符号链接名称 RtlInitUnicodeString(&SymbolicLinkName,L"\\??\\MyTestDriver"); //创
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
如何调用内核导出函数
weixin_36145588的博客
06-04 2478
如何获取内核导出函数地址从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。当我们写驱动时,如果想调用一个导出函数时,我们可以使用如下办法:以get_request函数为例,该函数原型为:static struct request *
获取导出内核函数地址
09-10 2196
使用导出内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数的特征,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
获取内核导出函数地址
 ̄Newly_Coder's | Notes
12-13 3624
ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature) { NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
内核函数 特征码定位
09-04 512
ULONG sao1()//DbgkCopyProcessDebugPort { UCHAR *p1 = (UCHAR*)jizhi_neihe; UCHAR *p2 = NULL; UCHAR n1 = 0; for (ULONG i = 0; i <= (ULONG)daxiao_neihe; i++) { if (MmIsAddressValid(p1 + i)) {
PspTerminateProcess 结束冰刃进程
坦然
08-14 1385
代码: #include typedef NTSTATUS (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus ); PSPTERPROC MyPspTerminateProcess ; NTSTATUS PsLookupProcessByProcessId( IN HAND
终于完成了Ring3下Call PspTerminateProcess
chenhui530的专栏
10-23 2861
出差到现在都即将两个月了,无聊郁闷中,好在昨天晚上成功在Ring3下Call PspTerminateProcess总算是有一份得高兴得事情了,目前还只支持XP,关于搜索PspTerminateProcess特征码定位是参考了网络上的一篇文章.目前工作正在移植到DLL中封装成标准函数供VB等语言调用.现在冰刃也可以轻易被结束了^_^. 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值