设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [开源]使用LoadImageNotifyRoutine抓取别人的驱动 ...
返回列表 发新帖
查看: 321|回复: 4

[开源]使用LoadImageNotifyRoutine抓取别人的驱动

[复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2025-3-3 00:02:26 | 显示全部楼层 |阅读模式
以下代码由ChatGPT生成,我稍加修改了一下。只要把代码复制下来命名为***.c即可使用WDK7编译。
  1. #include <ntddk.h>

  3. void LoadImageNotifyRoutine
  4. (
  5.         PUNICODE_STRING FullImageName,
  6.         HANDLE ProcessId,
  7.         PIMAGE_INFO ImageInfo
  8. )
  9. {
  10.         if (!FullImageName || !ImageInfo->SystemModeImage)
  11.         {
  12.                 return;
  13.         }
  14.         if (wcsstr(FullImageName->Buffer, L".sys"))
  15.         {
  16.                 UNICODE_STRING source, destination;
  17.                 OBJECT_ATTRIBUTES attr;
  18.                 IO_STATUS_BLOCK ioStatus;
  19.                 HANDLE sourceHandle, destHandle;       
  20.                 //注意:不建议使用如此大的局部变量,应该动态申请空间。AI可能偷懒了。
  21.                 WCHAR destinationPath[260] = L"\\??\\C:\";
  22.                 wcscat(destinationPath, wcsrchr(FullImageName->Buffer, L'\\') + 1);
  23.                 RtlInitUnicodeString(&source, FullImageName->Buffer);
  24.                 RtlInitUnicodeString(&destination, destinationPath);
  25.                 InitializeObjectAttributes(&attr, &source, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
  26.                 if (NT_SUCCESS(ZwCreateFile(&sourceHandle, GENERIC_READ, &attr, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OPEN, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0)))
  27.                 {
  28.                         InitializeObjectAttributes(&attr, &destination, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
  29.                         if (NT_SUCCESS(ZwCreateFile(&destHandle, GENERIC_WRITE, &attr, &ioStatus, NULL, FILE_ATTRIBUTE_NORMAL, 0, FILE_OVERWRITE_IF, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0)))
  30.                         {
  31.                                 //注意:不建议使用如此大的局部变量,应该动态申请空间。AI可能偷懒了。
  32.                                 UCHAR buffer[4096];
  33.                                 ULONG bytesRead, bytesWritten;
  34.                                 while (NT_SUCCESS(ZwReadFile(sourceHandle, NULL, NULL, NULL, &ioStatus, buffer, sizeof(buffer), NULL, NULL)) && ioStatus.Information > 0)
  35.                                 {
  36.                                         bytesRead = (ULONG)ioStatus.Information;
  37.                                         ZwWriteFile(destHandle, NULL, NULL, NULL, &ioStatus, buffer, bytesRead, NULL, NULL);
  38.                                 }
  39.                                 ZwClose(destHandle);
  40.                         }
  41.                         ZwClose(sourceHandle);
  42.                 }
  43.         }
  44. }

  46. void DriverUnload(PDRIVER_OBJECT DriverObject)
  47. {
  48.         PsRemoveLoadImageNotifyRoutine(LoadImageNotifyRoutine);
  49. }

  51. NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
  52. {
  53.         UNREFERENCED_PARAMETER(RegistryPath);
  54.         DriverObject->DriverUnload = DriverUnload;
  55.         return PsSetLoadImageNotifyRoutine(LoadImageNotifyRoutine);
  56. }
复制代码

为啥我要发这个帖子呢?原因在这:
游客,如果您要查看本帖隐藏内容请回复
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

jinfu

8

主题

31

回帖

0

精华

铜牌会员

积分
129
发表于 2025-3-3 18:46:09 | 显示全部楼层
本帖最后由 jinfu 于 2025-3-3 18:48 编辑

666,被抓驱动特征是容易被进检测黑名单的。
回复

举报

lpmjknj

3

主题

122

回帖

0

精华

铜牌会员

积分
291
发表于 2025-3-4 02:06:34 | 显示全部楼层
看看发这个帖子的原因
回复

举报

WordStar

0

主题

11

回帖

0

精华

初来乍到

积分
11
发表于 2025-3-10 07:24:56 | 显示全部楼层
学习一下
回复

举报

crazyshit

0

主题

16

回帖

0

精华

铜牌会员

积分
48
发表于 2025-4-2 21:53:45 | 显示全部楼层
来看看
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表