[开源]使用LoadImageNotifyRoutine抓取别人的驱动

Tesla.Angela

以下代码由ChatGPT生成，我稍加修改了一下。只要把代码复制下来命名为***.c即可使用WDK7编译。

1. #include <ntddk.h>
   
2. 
   
3. void LoadImageNotifyRoutine
   
4. (
   
5.         PUNICODE_STRING FullImageName,
   
6.         HANDLE ProcessId,
   
7.         PIMAGE_INFO ImageInfo
   
8. )
   
9. {
   
10.         if (!FullImageName || !ImageInfo->SystemModeImage)
    
11.         {
    
12.                 return;
    
13.         }
    
14.         if (wcsstr(FullImageName->Buffer, L".sys"))
    
15.         {
    
16.                 UNICODE_STRING source, destination;
    
17.                 OBJECT_ATTRIBUTES attr;
    
18.                 IO_STATUS_BLOCK ioStatus;
    
19.                 HANDLE sourceHandle, destHandle;       
    
20.                 //注意：不建议使用如此大的局部变量，应该动态申请空间。AI可能偷懒了。
    
21.                 WCHAR destinationPath[260] = L"\\??\\C:\";
    
22.                 wcscat(destinationPath, wcsrchr(FullImageName->Buffer, L'\\') + 1);
    
23.                 RtlInitUnicodeString(&source, FullImageName->Buffer);
    
24.                 RtlInitUnicodeString(&destination, destinationPath);
    
25.                 InitializeObjectAttributes(&attr, &source, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
    
26.                 if (NT_SUCCESS(ZwCreateFile(&sourceHandle, GENERIC_READ, &attr, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0)))
    
27.                 {
    
28.                         InitializeObjectAttributes(&attr, &destination, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
    
29.                         if (NT_SUCCESS(ZwCreateFile(&destHandle, GENERIC_WRITE, &attr, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OVERWRITE_IF, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0)))
    
30.                         {
    
31.                                 //注意：不建议使用如此大的局部变量，应该动态申请空间。AI可能偷懒了。
    
32.                                 UCHAR buffer[4096];
    
33.                                 ULONG bytesRead, bytesWritten;
    
34.                                 while (NT_SUCCESS(ZwReadFile(sourceHandle, NULL, NULL, NULL, &ioStatus, buffer, sizeof(buffer), NULL, NULL)) && ioStatus.Information > 0)
    
35.                                 {
    
36.                                         bytesRead = (ULONG)ioStatus.Information;
    
37.                                         ZwWriteFile(destHandle, NULL, NULL, NULL, &ioStatus, buffer, bytesRead, NULL, NULL);
    
38.                                 }
    
39.                                 ZwClose(destHandle);
    
40.                         }
    
41.                         ZwClose(sourceHandle);
    
42.                 }
    
43.         }
    
44. }
    
45. 
    
46. void DriverUnload(PDRIVER_OBJECT DriverObject)
    
47. {
    
48.         PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);
    
49. }
    
50. 
    
51. NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
    
52. {
    
53.         UNREFERENCED_PARAMETER(RegistryPath);
    
54.         DriverObject->DriverUnload = DriverUnload;
    
55.         return PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);
    
56. }

复制代码

为啥我要发这个帖子呢？原因在这：

游客，如果您要查看本帖隐藏内容请回复

jinfu

666,被抓驱动特征是容易被进检测黑名单的。

lpmjknj

看看发这个帖子的原因

WordStar

学习一下

crazyshit

来看看

IBinary

拦截驱动加载.数据重定向到文件.

lai0301

看看！！！！！！！！！！

376408384

我来学习