Abstract
Keywords
Citation Yao Qing-sheng.无耻的驱动加载法 (ZT).FUTURE & CIVILIZATION Natural/Social Philosophy & Infomation Sciences,20240324. https://yaoqs.github.io/20240324/wu-chi-de-qu-dong-jia-zai-fa-zt/

转载自 无耻的驱动加载法 (ZT)

无耻的驱动加载法 from : http : //www.debugman.com/read.php?tid=614

方法一: 替换 win32k . sys

在 2k3 的系统下 ZwSetSystemInformation 禁止了用户模式下加载驱动,只允许 SMSS . exe 加载 win32k . sys。于是我们可以利用一下这个特点:
1.  注入 SMSS . EXE
2.  打开 SeLoadDriverPrivilege 权限
3.  把原始的 win32k . sys 改名
4.  复制我们的驱动到 \systemroot\system32 下
5.  在 SMSS . EXE 中加载 \SystemRoot\System32\win32k . sys
6.  把 \SystemRoot\System32\win32k . sys 改名
7.  把原始的 win32k . sys 文件改名改回去 `

方法二: 利用第三方驱动程序的漏洞

这类驱动应该挺多的,我们可以选择一些装机量大的驱动来进行此项工作,如某某著名的杀毒软件即存在本地权限提升漏洞。。。获得了 ring0 权限再用 ZwSetSystemInformation 加载就万事大吉了

方法三: 感染随系统启动的驱动程序

此法类似于病毒感染,但需要等到下次系统重启才能拿到控制权,需要一些 PE 知识,这个我就不多说了。

这里顺便再说说通过 ZwSetSystemInformation 其实也是可以建立 Device 的,由于 ZwSetSystemInformation 加载驱动时传给 DriverEntry 的 DriverObject 指针是错误的,因此我们不能用它来创建 Device,  但我们可以自己分配一个 DriverObject 来创建,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
NTSTATUS       DriverEntry  (IN PDRIVER_OBJECT DriverObject , IN PUNICODE_STRING RegistryPath)       {
    NTSTATUS        ntStatus  =  STATUS_SUCCESS ;
    UNICODE_STRING  ntUnicodeString ;
    UNICODE_STRING  ntWin32NameString ;
    PDEVICE_OBJECT  deviceObject  =  NULL ;
    ULONG          i ; 
    DriverObject  =  ExAllocatePoolWithTag ( NonPagedPool ,  sizeof ( DRIVER_OBJECT ),  'clAS' );   
    // 分配DriverObject 
    RtlZeroMemory ( DriverObject ,  sizeof ( DRIVER_OBJECT )); RtlInitUnicodeString ( & ntUnicodeString ,  NT_DEVICE_NAME  ); 
    ntStatus  =  IoCreateDevice (    
        DriverObject ,    
        0 ,               
        & ntUnicodeString ,    
        0x8800 ,                                      //设备类型必须为自定义的 
    FILE_DEVICE_SECURE_OPEN ,    
    TRUE ,               
    & deviceObject  ); 
    if  ( ! NT_SUCCESS (  ntStatus  ) )           {    
        DbgPrint ( "Couldn't create the device object\n" );    
        return  ntStatus ;           } 
        // 注意,需要我们自己来清除INITIALIZING标志,否则设置不能打开
        ClearFlag (  deviceObject -> Flags ,  DO_DEVICE_INITIALIZING  );                 
        DriverObject -> MajorFunction [ IRP_MJ_CREATE ] =  CreateClose ;
        DriverObject -> MajorFunction [ IRP_MJ_CLOSE ] =  CreateClose ; 
        // 注意,必须要给IRP_MJ_CLEANUP分派一个DispathRoutine, 否则在设备关闭的时候就会挂
        DriverObject -> MajorFunction [ IRP_MJ_CLEANUP ] =  CreateClose ; 
        DriverObject -> MajorFunction [ IRP_MJ_DEVICE_CONTROL ] =  DeviceControl ; 
        // 注意,必须是Global符号连接, 否则程序退出后连接会消失
        RtlInitUnicodeString ( & ntWin32NameString ,  L "\\DosDevices\\Global\\RkrTest"  ); 
        ntStatus  =  IoCreateSymbolicLink (                               
            & ntWin32NameString , & ntUnicodeString  ); 
            if  ( ! NT_SUCCESS (  ntStatus  ) )           {    
                DbgPrint (( "Couldn't create symbolic link\n" ));    
                IoDeleteDevice (  deviceObject  );           
                } 
                return  ntStatus ;       
                }

如果你高兴的话在分配空间的时候分配多一点,把 OBJECT_HEADER 也算上,这样可以避免某些软件扫描 DriverObject 的对象头时挂掉。相应的用 CreateFile 时打开时应像这样指定 “\\ . \Global\SymbolLink” 还有哪些无耻的办法大家可以讨论一下 `

References

*Corresponding Author: Yao Qing-sheng <Email: 350788415@qq.com> BY-NC-SA .

  1. Yao Qing-sheng.无耻的驱动加载法 (ZT).FUTURE & CIVILIZATION.Natural/Social Philosophy & Infomation Sciences,20240324.https://yaoqs.github.io/20240324/wu-chi-de-qu-dong-jia-zai-fa-zt/
  2. 版权声明:本文为「LordYao」的原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接及本声明。
    原文链接: https://yaoqs.github.io/20240324/wu-chi-de-qu-dong-jia-zai-fa-zt/