拦截驱动加载

最新推荐文章于 2024-10-08 08:55:56 发布
原创 最新推荐文章于 2024-10-08 08:55:56 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在做一个程序,hookzwloaddriver来拦截驱动加载,但是碰到个问题,这个函数的原型是:  
NTSTATUS  
ZwLoadDriver(  
INPUNICODE_STRINGDriverServiceName  
);  
他只有一个参数,代表着驱动的服务名,我是通过读取注册表\Registry\Machine\System\CurrentControlSet\Services\+"DriverServiceName"+\imagepath来得到驱动文件的路径,如果imagepath里面是完整的路径,那没什么问题.但是如果注册服务的时候,不填写完整的路径,只填写文件名,比如"test.sys",然后把test.sys这个文件放在windows或者system32文件夹里(不一定是这两个文件夹,只要是环境变量中包含的文件夹),这样的话,驱动也能正常加载,但是读注册表就不能获取到完整的驱动文件路径了.  
我能想到的方法只有通过注册表读取用户变量和系统环境变量中的path内容,然后拼接字符串,判断文件是否存在.  
不知道还有没有其他更简单的方法?
陈刚12
关注
修改pe入口方式拦截驱动加载
liwen930723的专栏
10-28 1748
修改pe入口方式拦截驱动加载驱动加载起来了,但是立即退出。
拦截驱动文件,最好用的驱动拦截小工具
07-19
拦截驱动文件 安装任何软件安装驱动!最好用的驱动拦截小工具
windbg拦截驱动
weixin_34244102的博客
01-26 292
驱动加载有几种方式,查看CreateService就可以知道。 1、SERVICE_BOOT_START=0x00000000,被系统loader加载,这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下,因为此时系统只能读注册表,不能打开文件,不能打出调试信息。看了下面的分析就清楚了。 2、SERVICE_SYSTEM...
驱动防火墙,可以拦截驱动加载
11-29
非常好用的拦截加载驱动的工具,可以拦截驱动加载
驱动防火墙3.1:高效拦截驱动加载工具
描述中提到的工具具有“拦截驱动加载”的功能,这意味着它能够在驱动程序被加载执行之前进行检查和干预。在现实使用场景中,驱动防火墙一般会有一个预先设定的驱动程序列表或识别机制,它会检查尝试加载驱动是否为...
易语言加载驱动防止进程关闭源码-易语言
06-13
`demo.e`是易语言的源代码文件,里面包含了实现驱动加载和进程保护逻辑的代码。`Anti_Kill.sys`则是编译后的驱动程序文件,它将在系统中运行以提供进程保护功能。 在`demo.e`中,你可以看到易语言的源代码结构,...
网吧驱动拦截解决方案,网吧有效加载驱动
04-27
网吧驱动拦截解决方案,网吧有效加载驱动,网吧驱动拦截解决方案,网吧有效加载驱动
过360拦截加载驱动签名_Kdmapper-Bypass360.zip
09-02
“过360拦截加载驱动签名_Kdmapper-Bypass360.zip”压缩包内的文件“Kdmapper-Bypass360-main”即为这样一种辅助工具。此工具的名称暗示其主要功能是绕过360安全卫士的拦截机制,使得那些没有驱动签名的程序能够...
驱动拦截工具Safe3Monitor
04-08
杀毒软件等都不能拦截所以驱动,这个是可以拦截的,可以拦截驱动加载,而可以获得驱动文件来静态分析的好工具,虽说不能拦截所有驱动,但常规的都没问题,我想应该能满足大部分人的需求,不过最好要是纯净的系统,估计搞这个的都能满足吧
拦截窗体关闭驱动
06-26
一个最基础的拦截窗体关闭的驱动,供大家参考
Win11安全设置阻止加载驱动的解决方案
最新发布
mmoo_python的博客
10-08 9510
当Win11系统提示“安全设置将阻止加载驱动程序”时,你可以尝试关闭内存完整性和Windows Defender防火墙来解决这一问题。关闭内存完整性可以通过Windows安全中心或修改注册表来实现;而关闭Windows Defender防火墙则可以通过控制面板进行设置。请注意,在采取这些措施之前要充分了解可能带来的安全风险,并谨慎操作。希望本文能帮助你解决这一问题,让你的设备恢复正常运行。
(原创)CnCrypt 主机防御工具,包括文件 注册表隐藏锁定,驱动 动态库拦截等功能
weixin_43268350的博客
05-25 584
CnCrypt 手动主机防御工具 这版主机防御包括有文件锁定,隐藏,注册表锁定,隐藏,进程拦截驱动拦截,动态库拦截,网络管控,端口转发,文件重定向等N个实用的功能,另外还有窗口拦截和进程保护,外设控制等几功能给隐藏了,因为窗口实在是放不下了,下个版本再加吧,程序没有太高的技术含量,但整体测试,调试花了不少时间,重在稳定,实用。软件界面部分做的还比较粗糙,没有进行过多的优化,后面版本我会继续改进。 欢迎大家继续关注CnCrypt的其它作品。 功能描述 1、文件保护 文件读写保护
7.4 Windows驱动开发:内核运用LoadImage屏蔽驱动
优快云
12-01 5492
要想实现`驱动屏蔽`其原理很简单,通过`ImageInfo->ImageBase`得到镜像基地址,然后调用`GetDriverEntryByImageBase`函数来得到程序的入口地址,找NT头的`OptionalHeader`节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入`ret`返回指令,即可实现屏蔽加载特定驱动文件。
驱动加载监控
kernweak的博客
05-31 1750
Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp) Hook_ZwLoadDriver( IN PUNICODE_STRING DriverServiceName )//服务名,在注册表 所以要在注册表改驱动ImagePath看驱动路径。 注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadD...
ZwLoadDriver加载驱动
blackbean的专栏
09-16 2609
建议用SCM加载驱动,这种是正常加载方式,稳定些,不容易bsod #include #include typedef struct _LSA_UNICODE_STRING {      USHORT Length;      USHORT MaximumLength
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值