根据特征码找到未导出的内核函数 PspTerminateProcess

本文介绍了一种使用壳代码在内存中搜索特定内核函数地址的方法,通过遍历指定地址范围,比对壳代码与目标函数的签名,实现对内核函数如终止进程的定位。文章展示了具体的C语言实现代码,包括如何定义函数类型、结构体以及遍历内存的算法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题

#include <ntifs.h>
typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus);

typedef struct _LDR_DATA_TABLE_ENTRY {
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID      DllBase;
	PVOID      EntryPoint;
	ULONG32    SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	UINT32   Unknow[17];

}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

VOID __stdcall UnLoad(PDRIVER_OBJECT pDriver) {
	DbgPrint("Driver 卸载成功\r\n");
}
PVOID FindFunByShellcode(UINT32 startAddr, PUINT32 shellcode,UINT32 length) {

	UINT32 addrRange = 0x100000;

	for (int i = 0; i < addrRange; i++) {
		PUINT32 temp = (PUINT32)(startAddr + i);
		if (*temp == shellcode[0]) {
			PVOID retValue = temp;
			for (int j = 1; j < length; j++) {
				temp++;
				if (*temp == shellcode[j]) {
					if (j == (length-1)) {
						DbgPrint("Function Found Address:%x\r\n", temp);
						return retValue;
					}
					continue;
				} else {
					break;	
				}
			}
		}
	}
	DbgPrint("404 Function Not Found\r\n");
	return NULL;
}
VOID FindFunByShellcodeTest() {
	UINT32 shelcode[8] = { 0x8b55ff8b, 0xa16456ec, 0x00000124, 0x3b08758b, 0x07754470, 0x00000db8, 0x575aebc0, 0x0248be8d };
	pFunTerminateProcess TerminateProcess = FindFunByShellcode(0x805C0000, shelcode, 8);
	PEPROCESS hProcess;
	//PsLookupProcessByProcessId 根据PID获取句柄
	if (PsLookupProcessByProcessId((HANDLE)1388, &hProcess) == STATUS_SUCCESS) {
		TerminateProcess(hProcess, 0);
	} else {
		DbgPrint("404 Not Found\r\n");
	}
	
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath) {
	pDriver->DriverUnload = UnLoad;
	//PrintKernelModule(pDriver);
	FindFunByShellcodeTest();
	return STATUS_SUCCESS;
}
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值