驱动加载监控

最新推荐文章于 2026-04-06 02:11:48 发布
原创 最新推荐文章于 2026-04-06 02:11:48 发布 · 1.9k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
博客围绕Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp)展开,提到在注册表改驱动ImagePath查看驱动路径,介绍不同系统Hook的函数,如xp的NtRequestWaitReplyPort、Win7的NtAlpcSendWaitReceivePort等,还分享了Hook遇到的问题及Unhook的参考方法。

Hook_ZwLoadDriver和HOOK_ZwSetSystemInformation(xp)

Hook_ZwLoadDriver(
  IN PUNICODE_STRING DriverServiceName )//服务名,在注册表

所以要在注册表改驱动ImagePath看驱动路径。

注意通过instrDrv加载驱动不一定看到的是原本加载驱动的文件,是通信方式加载驱动,在ZwLoadDriver中 如果是用SCM加载驱动,那么得到的进程路径是server.exe,所以可Hook

xp:NtRequestWaitReplyPort

Win7:NtAlpcSendWaitReceivePort

或者通过注册回调的方式PsSetLoadImageNotifyRoutine

UCHAR xxx[]="\xb8\x22\x00\x00\xc0\c3";
_CopyMemory(DriverEntry,xxx,sizeof(xxx));
//就是mov eax,0xC0000022//b8 status_access_denied
return //c3

拷贝到DriverEntry起始地址。

代码片段

hook ntloaddriver正常,hook NtAlpcSendWaitReceivePort遇到大坑,只能得到pid,想得到驱动加载的远程序不知道怎么操作,日后再找其他方法,并且停止会蓝屏,只能看到PID

#include "precomp.h"

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase; //Used only in checked build
	unsigned int NumberOfServices;
	unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
#define NUM(x) *(PULONG)((PUCHAR)x+1)
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]
#define SDT     SYSTEMSERVICE
#define KSDT KeServiceDescriptorTable

void StartHook(void);
void RemoveHook(void);



typedef struct _PORT_MESSAGE
{
	union
	{
		struct
		{
			CSHORT DataLength;
			CSHORT TotalLength;
		} s1;
		ULONG Length;
	} u1;
	union
	{
		struct
		{
			CSHORT Type;
			CSHORT DataInfoOffset;
		} s2;
		ULONG ZeroInit;
	} u2;
	union
	{
		CLIENT_ID ClientId;
		double DoNotUseThisField;
	};
	ULONG MessageId;
	union
	{
		SIZE_T ClientViewSize; // only valid for LPC_CONNECTION_REQUEST messages
		ULONG CallbackId; // only valid for LPC_REQUEST messages
	};
} PORT_MESSAGE, *PPORT_MESSAGE;
//typedef struct _PORT_MESSAGE *PPORT_MESSAGE;
typedef struct _ALPC_MESSAGE_ATTRIBUTES
{
	ULONG AllocatedAttributes;
	ULONG ValidAttributes;
} ALPC_MESSAGE_ATTRIBUTES, *PALPC_MESSAGE_ATTRIBUTES;



NTKERNELAPI NTSTATUS ZwLoadDriver(
	IN PUNICODE_STRING DriverServiceName);

NTSYSCALLAPI NTSTATUS NTAPI	 ZwAlpcSendWaitReceivePort(
	_In_ HANDLE PortHandle,
	_In_ ULONG 	Flags,
	_In_reads_bytes_opt_(SendMessage->u1.s1.TotalLength) PPORT_MESSAGE 	SendMessage,
	_Inout_opt_ PALPC_MESSAGE_ATTRIBUTES 	SendMessageAttributes,
	_Out_writes_bytes_to_opt_(*BufferLength, *BufferLength) PPORT_MESSAGE ReceiveMessage,
	_Inout_opt_ PSIZE_T 	BufferLength,
	_Inout_opt_ PALPC_MESSAGE_ATTRIBUTES 	ReceiveMessageAttributes,
	_In_opt_ PLARGE_INTEGER 	Timeout
);



NTSTATUS Hook_ZwLoadDriver(
	IN PUNICODE_STRING DriverServiceName);


NTSTATUS Hook_NtAlpcSendWaitReceivePort(HANDLE PortHandle,
	ULONG Flags,
	PPORT_MESSAGE SendMessage,
	PALPC_MESSAGE_ATTRIBUTES SendMessageAttributes,
	PPORT_MESSAGE ReceiveMessage,
	PSIZE_T BufferLength,
	PALPC_MESSAGE_ATTRIBUTES ReceiveMessageAttributes,
	PLARGE_INTEGER 	Timeout);


//定义函数指针
typedef NTSTATUS(*ZWLOADDRIVER)(
	IN PUNICODE_STRING DriverServiceName);




typedef NTSTATUS(*RealNTALPCSENDWAITRECEIVEPORT)(_In_ HANDLE PortHandle,
	_In_ ULONG 	Flags,
	_In_reads_bytes_opt_(SendMessage->u1.s1.TotalLength) PPORT_MESSAGE 	SendMessage,
	_Inout_opt_ PALPC_MESSAGE_ATTRIBUTES 	SendMessageAttributes,
	_Out_writes_bytes_to_opt_(*BufferLength, *BufferLength) PPORT_MESSAGE ReceiveMessage,
	_Inout_opt_ PSIZE_T 	BufferLength,
	_Inout_opt_ PALPC_MESSAGE_ATTRIBUTES 	ReceiveMessageAttributes,
	_In_opt_ PLARGE_INTEGER 	Timeout);

static RealNTALPCSENDWAITRECEIVEPORT OldNtAlpcSendWaitReceivePort;


static ZWLOADDRIVER              OldZwLoadDriver;



static HANDLE g_Pid = 0;    //加载驱动的进程PID

//正则匹配
BOOLEAN IsPatternMatch(PUNICODE_STRING Expression, PUNICODE_STRING Name, BOOLEAN IgnoreCase)
{
	return FsRtlIsNameInExpression(
		Expression,
		Name,
		IgnoreCase,//如果这里设置为TRUE,那么Expression必须是大写的
		NULL
	);
}


NTSTATUS Hook_ZwLoadDriver(
	IN PUNICODE_STRING DriverServiceName)//服务名,在注册表
{
	UNICODE_STRING			uPath = { 0 };
	NTSTATUS				status = STATUS_SUCCESS;
	BOOL					skipOriginal = FALSE;
	WCHAR					szTargetDriver[MAX_PATH] = { 0 };
	WCHAR					szTarget[MAX_PATH] = { 0 };
	R3_RESULT				CallBackResult = R3Result_Pass;
	WCHAR					wszPath[MAX_PATH] = { 0 };
	UNICODE_STRING ustrProcessPath = { 0 };
	WCHAR				wszProcessPath[MAX_PATH] = { 0 };
	__try
	{
		UNICODE_STRING CapturedName;

		if ((ExGetPreviousMode() == KernelMode) ||
			(DriverServiceName == NULL))
		{
			skipOriginal = TRUE;
			status = OldZwLoadDriver(DriverServiceName);
			return status;
		}

		uPath.Length = 0;
		uPath.MaximumLength = MAX_PATH * sizeof(WCHAR);
		uPath.Buffer = wszPath;


		CapturedName = ProbeAndReadUnicodeString(DriverServiceName);

		ProbeForRead(CapturedName.Buffer,
			CapturedName.Length,
			sizeof(WCHAR));

		RtlCopyUnicodeString(&uPath, &CapturedName);

		if (ntGetDriverImagePath(&uPath, szTargetDriver))
		{

			// 			if(ntIsDosDeviceName(szTargetDriver))
			// 			{
			// 				if( ntGetNtDeviceName(szTargetDriver, 
			// 					szTarget))
			// 				{
			// 					RtlStringCbCopyW(szTargetDriver, 
			// 						sizeof(szTargetDriver), 
			// 						szTarget);
			// 				}
			// 			}
			DbgPrint("Driver:%ws will be loaded\n", szTargetDriver);
			ustrProcessPath.Buffer = wszProcessPath;
			ustrProcessPath.Length = 0;
			ustrProcessPath.MaximumLength = sizeof(wszProcessPath);
			GetProcessFullNameByPid(PsGetCurrentProcessId(), &ustrProcessPath);
			DbgPrint("Parent:%wZ\n", &ustrProcessPath);

			//CallBackResult = hipsGetResultFromUser(L"加载", szTargetDriver, NULL,User_DefaultNon);//弹窗
			if (CallBackResult == R3Result_Block)
			{
				return STATUS_ACCESS_DENIED;
			}

			skipOriginal = TRUE;
			status = OldZwLoadDriver(DriverServiceName);
			return status;
		}


	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{

	}

	if (skipOriginal)
		return status;

	return OldZwLoadDriver(DriverServiceName);
}



NTSTATUS Hook_NtAlpcSendWaitReceivePort(HANDLE PortHandle,
	ULONG Flags,
	PPORT_MESSAGE SendMessage,
	PALPC_MESSAGE_ATTRIBUTES SendMessageAttributes,
	PPORT_MESSAGE ReceiveMessage,
	PSIZE_T BufferLength,
	PALPC_MESSAGE_ATTRIBUTES ReceiveMessageAttributes,
	PLARGE_INTEGER 	Timeout)
{
	UNICODE_STRING StrProcessName = { 0 };
	StrProcessName.MaximumLength = MAX_PATH * sizeof(WCHAR);
	StrProcessName.Length = 0;
	WCHAR tmp[MAX_PATH] = { 0 };
	StrProcessName.Buffer = tmp;
	UNICODE_STRING uExpression = { 0 };
	RtlInitUnicodeString(&uExpression, L"*SERVICES.EXE");
	__try {
		if (SendMessage)
		{
			g_Pid = PsGetCurrentProcessId();
			DbgPrint("DriverLoad PID=%d\n", g_Pid);
			GetProcessFullNameByPid((HANDLE)g_Pid, &StrProcessName);
			if (IsPatternMatch(&uExpression, &StrProcessName, TRUE))
			{
				DbgPrint("Parent:%wZ\n", &StrProcessName);
			}
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{

	}
		return OldNtAlpcSendWaitReceivePort(PortHandle, Flags, SendMessage,
			SendMessageAttributes, ReceiveMessage, BufferLength, ReceiveMessageAttributes,
			Timeout);
}




NTSTATUS RtlSuperCopyMemory(IN VOID UNALIGNED *Dst,
	IN CONST VOID UNALIGNED *Src,
	IN ULONG Length)
{
	PMDL pmdl = IoAllocateMdl(Dst, Length, 0, 0, NULL);
	if (pmdl == NULL)
		return STATUS_UNSUCCESSFUL;
	MmBuildMdlForNonPagedPool(pmdl);
	unsigned int *Mapped = (unsigned int *)MmMapLockedPages(pmdl, KernelMode);
	if (!Mapped)
	{
		IoFreeMdl(pmdl);
		return STATUS_UNSUCCESSFUL;
	}

	KIRQL kirql = KeRaiseIrqlToDpcLevel();

	RtlCopyMemory(Mapped, Src, Length);

	KeLowerIrql(kirql);

	MmUnmapLockedPages((PVOID)Mapped, pmdl);
	IoFreeMdl(pmdl);

	return STATUS_SUCCESS;

}

void StartHook(void)
{
	//获取未导出的服务函数索引号
	HANDLE    hFile;
	PCHAR    pDllFile;
	ULONG  ulSize;
	ULONG  ulByteReaded;


	OldZwLoadDriver = SDT(ZwLoadDriver);
	ULONG hookAddr = (ULONG)Hook_ZwLoadDriver;
	OldNtAlpcSendWaitReceivePort = SDT(ZwAlpcSendWaitReceivePort);
	ULONG hookAddr1 = (ULONG)Hook_NtAlpcSendWaitReceivePort;
	
	
	
	
	RtlSuperCopyMemory(&SDT(ZwLoadDriver), &hookAddr, 4);    //关闭
	
	
	RtlSuperCopyMemory(&SDT(ZwAlpcSendWaitReceivePort), &hookAddr1, 4);
	return;
}

void RemoveHook(void)
{
	
	ULONG hookAddr = (ULONG)OldZwLoadDriver;
	RtlSuperCopyMemory(&SDT(ZwLoadDriver), &hookAddr, 4);    //关闭

	ULONG hookAddr1 = (ULONG)OldNtAlpcSendWaitReceivePort;
	RtlSuperCopyMemory(&SDT(ZwAlpcSendWaitReceivePort), &hookAddr1, 4);    //关闭

}

 

Unhook需要通过deviceiocontrol来进行参考【原创】总结一把,较为精确判断SCM加载 - 看雪安全论坛
https://bbs.pediy.com/thread-135988.htm

 

systeminfo卡死一例分析
u010607621的博客
06-07 1673
Win7 64位OS。设备与打印机窗口的进度条持续不能走完,此时打开设备管理器也依然卡住,systeminfo.exe程序也会卡住。此故障现象偶现难以复现。鉴于另外两个进程的线程太多了,就优先从systeminfo进程入手研究。 给systeminfo进程下dmp,用windbg打开dmp,先查看每个线程的栈回溯: 姑且猜测是0号线程,在等待应答,进而整个进程卡住。0号线程最后调用的是NtAlpcSendWaitReceivePort。这个api类似于网络socket的send和recv一体。它的声明如下:
【原创】Windows处理驱动Path流程
OSReact的专栏
07-12 1474
昨天写了一个类似SC查询驱动服务的信息的程序,发现获取到的路径ImagePath是\??\c:\xxxxx,导致我用CreateFile什么的函数,居然失败!就比较好奇windows是怎么处理驱动服务一类的路径处理。我知道windows是在注册表中记录的启动服务信息,直接用注册表打开查看如下: <img title="名称: reg.JPG 查看次数: 311 文件大小: 58.7 KB
Win64 驱动内核编程-13.回调监控模块加载
天使也掉毛
03-12 4709
回调监控模块加载     模块加载包括用户层模块(.DLL)和内核模块(.SYS)的加载。传统方法要监控这两者加在必须 HOOK 好几个函数,比如 NtCreateSection 和 NtLoadDriver 等,而且这些方法还不能监控未知的驱动加载方法。其实为了监控模块加载而HOOK API 是非常傻的,因为微软已经提供了一对标准的 API 实现此功能。它们 分别是 PsSetLoadIm
获取Powershell命令行参数
被遗弃的庸才博客
08-12 2660
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include <ntimage.h> #include <ntstrsafe.h> typedef struct _LDR_DATA_TABLE_
Windows IPC
UUniversity的博客
12-29 1475
命名管道起源于 OS/2 时代,是一种进程间通信机制,可在两台计算机上的进程之间提供可靠的、面向连接的双向通信。命名管道是 Microsoft Windows 操作系统和应用程序中客户端/服务器通信的一种形式。虽然管道这个名字听起来有点奇怪好像很复杂的样子,但管道却是一种非常基本且简单的技术,可以在两个进程之间实现通信和共享数据,其中术语管道描述了这两个进程使用的共享内存段。有两种类型的管道:命名管道匿名管道大多数时候,在引用管道时,可能指的是命名管道,因为命名管道提供了较为完整的功能。
驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载
落笔飞花笑百生的博客
04-27 1855
 #include "ntddk.h" //#include "Ntifs.h" //PVOID NTSTATUS PsSetLoadImageNotifyRoutine(  PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine); NTSTATUS PsRemoveLoadImageNotifyRoutine( __in PLOAD_IMAG
驱动加载监控x86
zhuhuibeishadiao
04-10 1227
Hook_ZwLoadDriver HOOK_ZwSetSystemInformation NTSTATUS NTAPI HOOK_NtSetSystemInformation ( IN ULONG SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength )
Unraid IT87驱动加载实战:让隐藏的硬件监控芯片重见天日
weixin_29252171的博客
03-05 80
本文详细介绍了在Unraid系统中解决硬件监控数据缺失问题的实战指南。通过使用sensors-detect工具精准定位未识别的ITE IT87系列监控芯片,并指导用户安装对应驱动插件、手动加载模块及设置开机自启,最终让主板温度、风扇转速、电压等关键硬件信息得以完整显示,实现服务器健康状态的全面可视化监控
Unraid IT87系列监控芯片驱动加载与数据可视化实战
weixin_28432777的博客
03-03 446
本文详细介绍了在Unraid系统中为IT87系列硬件监控芯片加载驱动并实现数据可视化的完整实战流程。针对`sensors-detect`识别出驱动为`to-be-written`的常见问题,提供了通过`modprobe`命令手动加载驱动、安装社区应用实现持久化以及解读`sensors`命令输出的具体方法,帮助用户彻底解决Unraid硬件监控数据缺失的困扰,实现对服务器电压、温度和风扇转速的全面掌控。
vs2010 错误
Henry_Wu001的专栏
10-23 2184
refs: http://blog.csdn.net/fibona/article/details/5949180 http://www.cxyclub.cn/n/9774/
阻止反外挂GPK/sys加载思路
暗组-萬歲
07-20 5594
思路建议: sys 驱动加载之前,要 CreateService ,试试拦截这个api?或者更底层? 不重启的话,Hook ZwLoadDriver,ZwSetSysteminformation基本就差不多了createservice,zwloaddriver,zwsetsyst
加载驱动过程
junjie1595的专栏
06-19 1998
用instDrv加载驱动,用CreateService()函数等等过程如下, 1,先是它向Service进程注册服务。 2,然后Service进程调用ZwLoadDriver()加载驱动。进入NtLoadDriver()系统调用,它先会检测SerVice进程(当前进程)是不是有加载驱动的权限,然后检测当前进程是不是System进程,是的话直接调用IopLoadUnloadDriver(
修改目标进程的父进程
Richard的专栏
03-10 7691
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
动态监控驱动、dll、exe加载
weixin_30765577的博客
10-30 315
1 /* 2 windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过 3 */ 4 5 #include <ntddk.h> 6 #include "nt_help.h" 7 DRIVER_INITIALIZE DriverEntry; 8 9 typedef struct...
手把手教你用switchtec-user工具监控PCIE Switch温度:驱动加载后的实战应用
最新发布
weixin_33737774的博客
04-06 66
本文详细介绍了如何使用switchtec-user工具监控PCIE Switch温度,从驱动加载到实战应用的全过程。通过环境准备、工具编译、温度监控实战操作及数据解读,帮助硬件工程师确保系统稳定运行。特别适合数据中心和服务器硬件运维人员参考。
系统监控工具SystemInformer:内核驱动加载失败深度解决方案
gitblog_00794的博客
02-01 390
SystemInformer是一款免费、功能强大的多用途系统工具,能帮助用户监控系统资源、调试软件和检测恶意软件。当遇到内核驱动加载失败问题时,本文将提供全面的解决方案,助您快速恢复系统监控功能。 [![SystemInformer系统监控工具界面](https://raw.gitcode.com/GitHub_Trending/sy/systeminformer/raw/73ccb70d378
windows 内核原理与实现读书笔记之LPC
maomao171314的专栏
11-24 3002
LPC(本地过程调用)服务 本地过程调用(LPC,Local Procedure Call),主要用于操作系统各个组件之间进行通信,或者用户模式程序与系统组件之间通信。 LPC工作方式时消息传递,允许两个进程进行双向通信,在Windows的主要应用如下: Windows 应用程序与系统进程,包括Windows环境子系统之间的通信。 用户模式程序与内核模式组件之间的通信。 当RPC(远程过程调用,Remote Procecure Call)的两端在同一个系统时,RPC通信转化位LPC通信。 8.2.
Windows云服务器CPU使用率高的问题一例
weixin_34383618的博客
01-26 1043
作者:声东 大家好,今天跟大家分享一例Windows云服务器CPU使用率高的问题。 问题症状 客户购买了一台Windows 2016云服务器,登录之后发现这台服务器的CPU使用率一直保持在90%以上。 问题分析 首先登录到服务器,打开任务管理器,切换到性能页面,确认问题确实存在。从下图可以看出,这台服务器有非常明显的CPU使用率高的症状。 然后,我们切...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值