拦截驱动加载

最新推荐文章于 2025-07-03 16:21:05 发布
最新推荐文章于 2025-07-03 16:21:05 发布
阅读量2.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: windwos内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18942885/article/details/45311449
该博客介绍了如何在Windows环境中通过驱动程序实现对其他驱动加载的拦截。具体包括解析PE头来获取驱动入口地址,以及利用LoadImageNotifyRoutine回调函数在驱动加载时执行拦截逻辑,阻止特定驱动的加载。


#include "ntddk.h"

#include <windef.h>

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header

WORD   e_magic;                     // Magic number

WORD   e_cblp;                      // Bytes on last page of file

WORD   e_cp;                        // Pages in file

WORD   e_crlc;                      // Relocations

WORD   e_cparhdr;                   // Size of header in paragraphs

WORD   e_minalloc;                  // Minimum extra paragraphs needed

WORD   e_maxalloc;                  // Maximum extra paragraphs needed

WORD   e_ss;                        // Initial (relative) SS value

WORD   e_sp;                        // Initial SP value

WORD   e_csum;                      // Checksum

WORD   e_ip;                        // Initial IP value

WORD   e_cs;                        // Initial (relative) CS value

WORD   e_lfarlc;                    // File address of relocation table

WORD   e_ovno;                      // Overlay number

WORD   e_res[4];                    // Reserved words

WORD   e_oemid;                     // OEM identifier (for e_oeminfo)

WORD   e_oeminfo;                   // OEM information; e_oemid specific

WORD   e_res2[10];                  // Reserved words

LONG   e_lfanew;                    // File address of new exe header

} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;


typedef struct _IMAGE_DATA_DIRECTORY {

DWORD   VirtualAddress;

DWORD   Size;

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;


typedef struct _IMAGE_OPTIONAL_HEADER {

//

// Standard fields.

//


WORD    Magic;

BYTE    MajorLinkerVersion;

BYTE    MinorLinkerVersion;

DWORD   SizeOfCode;

DWORD   SizeOfInitializedData;

DWORD   SizeOfUninitializedData;

DWORD   AddressOfEntryPoint;

DWORD   BaseOfCode;

DWORD   BaseOfData;


//

// NT additional fields.

//


DWORD   ImageBase;

DWORD   SectionAlignment;

DWORD   FileAlignment;

WORD    MajorOperatingSystemVersion;

WORD    MinorOperatingSystemVersion;

WORD    MajorImageVersion;

WORD    MinorImageVersion;

WORD    MajorSubsystemVersion;

WORD    MinorSubsystemVersion;

DWORD   Win32VersionValue;

DWORD   SizeOfImage;

DWORD   SizeOfHeaders;

DWORD   CheckSum;

WORD    Subsystem;

WORD    DllCharacteristics;

DWORD   SizeOfStackReserve;

DWORD   SizeOfStackCommit;

DWORD   SizeOfHeapReserve;

DWORD   SizeOfHeapCommit;

DWORD   LoaderFlags;

DWORD   NumberOfRvaAndSizes;

IMAGE_DATA_DIRECTORY DataDirectory[16];

} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;



typedef struct _IMAGE_FILE_HEADER {

WORD    Machine;

WORD    NumberOfSections;

DWORD   TimeDateStamp;

DWORD   PointerToSymbolTable;

DWORD   NumberOfSymbols;

WORD    SizeOfOptionalHeader;

WORD    Characteristics;

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;


typedef struct _IMAGE_NT_HEADERS {

DWORD Signature;


IMAGE_FILE_HEADER FileHeader;

IMAGE_OPTIONAL_HEADER OptionalHeader; // 0x18

} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;


PVOID GetDriverEntryByImageBase(PVOID ImageBase)

{

PIMAGE_DOS_HEADER pDOSHeader;

PIMAGE_NT_HEADERS pNTHeader;

PVOID pEntryPoint;

pDOSHeader = (PIMAGE_DOS_HEADER)ImageBase;

pNTHeader = (PIMAGE_NT_HEADERS64)((ULONG64)ImageBase + pDOSHeader->e_lfanew);

pEntryPoint  =  (PVOID)((ULONG64)ImageBase  +

pNTHeader->OptionalHeader.AddressOfEntryPoint);

return pEntryPoint;

}

void DenyLoadDriver(PVOID DriverEntry)

{ULONG  oldCr0;

//00000000L

UCHAR fuck[]="\xB8\x22\x00\x00\xC0\xC3"; // mov eax,c0000022h

                           //ret

//这里关CR0

__asm {

cli;

mov eax, cr0;

mov oldCr0, eax;

and eax, not 10000h;

mov cr0, eax

}

RtlCopyMemory(DriverEntry,fuck,sizeof(fuck));

//复制完了再开CR0

__asm {

mov eax, oldCr0;

mov cr0, eax;

sti;

}

}

VOID LoadImageNotifyRoutine

(

__in_opt PUNICODE_STRING FullImageName,

__in HANDLE ProcessId,

__in PIMAGE_INFO ImageInfo

)

{

PVOID pDrvEntry;


if(FullImageName!=NULL && MmIsAddressValid(FullImageName))//判断名字不为NULL和地址有效!

{

if(ProcessId==0)//如果是驱动程序

{

DbgPrint("[LoadImageNotifyX64]%wZ\n",FullImageName);

pDrvEntry=GetDriverEntryByImageBase(ImageInfo->ImageBase);//获取驱动的入口地址

DbgPrint("[LoadImageNotifyX64]DriverEntry: %p\n",pDrvEntry);

if(wcsstr(FullImageName->Buffer,L"EagleXNt.sys"))//如果驱动名是EagleXNt.sys

{

DenyLoadDriver(pDrvEntry);//写入代码 执行拦截驱动加载

}

}

}

}


void DriverUnload(PDRIVER_OBJECT obj){


PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);//移除镜像加载 回调

}

NTSTATUS DriverEntry(PDRIVER_OBJECT obj,PUNICODE_STRING preg){

PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);//设置加载回调

obj->DriverUnload=DriverUnload;

return STATUS_SUCCESS;

}

PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1213
PsSetLoadImageNotifyRoutine#include &lt;ntifs.h&gt;#include &lt;ntddk.h&gt;#include &lt;Ntstrsafe.h&gt;#include &lt;fltKernel.h&gt;//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
阻止反外挂GPK/sys加载思路
暗组-萬歲
07-20 5288
思路建议: sys 驱动加载之前,要 CreateService ,试试拦截这个api?或者更底层? 不重启的话,Hook ZwLoadDriver,ZwSetSysteminformation基本就差不多了createservice,zwloaddriver,zwsetsyst
拦截驱动文件,最好用的驱动拦截小工具
07-19
拦截驱动文件 安装任何软件安装驱动!最好用的驱动拦截小工具
驱动防火墙,可以拦截驱动加载
11-29
非常好用的拦截加载驱动的工具,可以拦截驱动加载
Windows 10驱动加载工具套装.zip
最新发布
weixin_35835018的博客
07-03 892
在数字时代,计算机系统是现代生活不可或缺的组成部分。软件和硬件的协同工作是系统稳定运行的关键,而这在很大程度上依赖于驱动程序的正确加载和管理。本章节将为您介绍驱动加载工具套装的心概念与基础功能。驱动加载工具套装是一种集合了多个实用工具的软件包,旨在帮助IT专业人员和爱好者高效地管理和维护其系统驱动程序。这些工具包通常包括驱动程序的安装、更新、回滚、诊断和备份等功能,它们通过一个集中化的界面或命令行实现,极大地简化了复杂和耗时的驱动管理任务。
网吧驱动拦截解决方案,网吧有效加载驱动
04-27
网吧驱动拦截解决方案,网吧有效加载驱动,网吧驱动拦截解决方案,网吧有效加载驱动
驱动防火墙3.1:高效拦截驱动加载工具
描述中提到的工具具有“拦截驱动加载”的功能,这意味着它能够在驱动程序被加载执行之前进行检查和干预。在现实使用场景中,驱动防火墙一般会有一个预先设定的驱动程序列表或识别机制,它会检查尝试加载驱动是否为...
易语言加载驱动防止进程关闭源码-易语言
06-13
`demo.e`是易语言的源代码文件,里面包含了实现驱动加载和进程保护逻辑的代码。`Anti_Kill.sys`则是编译后的驱动程序文件,它将在系统中运行以提供进程保护功能。 在`demo.e`中,你可以看到易语言的源代码结构,...
过360拦截加载驱动签名_Kdmapper-Bypass360.zip
09-02
“过360拦截加载驱动签名_Kdmapper-Bypass360.zip”压缩包内的文件“Kdmapper-Bypass360-main”即为这样一种辅助工具。此工具的名称暗示其主要功能是绕过360安全卫士的拦截机制,使得那些没有驱动签名的程序能够...
Error 1275 - 此驱动程序被阻止加载
Ghjhfssfgk的博客
02-22 7806
现摘录网上相关论述如下; 1 遇到驱动程序阻止加载,有多种原因,可以参考如下解决方法: 方法一:   1.右键桌面上的“计算机”→“属性”。   2.选择左边选项卡的“高级系统设置”。   3.切换到左边的“硬件”选项卡→选择第二个“设备安装设置”。   4.在弹出来的窗口选择“否”→第三项→“从不安装”→“确定”即可。      方法二:   1.点击开始菜单(或使用“Win+R”键)→键入“g...
Hook API监视驱动加载_ASM
09-06 1634
;**************************************************************************************************;Author:dge/D哥;Date  :2006.7.20;*********************************************************************
驱动拦截工具Safe3Monitor
04-08
杀毒软件等都不能拦截所以驱动,这个是可以拦截的,可以拦截驱动加载,而可以获得驱动文件来静态分析的好工具,虽说不能拦截所有驱动,但常规的都没问题,我想应该能满足大部分人的需求,不过最好要是纯净的系统,估计搞这个的都能满足吧
修改pe入口方式拦截驱动加载
liwen930723的专栏
10-28 1757
修改pe入口方式拦截驱动加载驱动加载起来了,但是立即退出。
Win11安全设置阻止加载驱动的解决方案
热门推荐
mmoo_python的博客
10-08 1万+
当Win11系统提示“安全设置将阻止加载驱动程序”时,你可以尝试关闭内存完整性和Windows Defender防火墙来解决这一问题。关闭内存完整性可以通过Windows安全中心或修改注册表来实现;而关闭Windows Defender防火墙则可以通过控制面板进行设置。请注意,在采取这些措施之前要充分了解可能带来的安全风险,并谨慎操作。希望本文能帮助你解决这一问题,让你的设备恢复正常运行。
7.4 Windows驱动开发:内运用LoadImage屏蔽驱动
优快云
12-01 5526
要想实现`驱动屏蔽`其原理很简单,通过`ImageInfo->ImageBase`得到镜像基地址,然后调用`GetDriverEntryByImageBase`函数来得到程序的入口地址,找NT头的`OptionalHeader`节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入`ret`返回指令,即可实现屏蔽加载特定驱动文件。
windbg拦截驱动
weixin_34244102的博客
01-26 295
驱动加载有几种方式,查看CreateService就可以知道。 1、SERVICE_BOOT_START=0x00000000,被系统loader加载,这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下,因为此时系统只能读注册表,不能打开文件,不能打出调试信息。看了下面的分析就清楚了。 2、SERVICE_SYSTEM...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值