一个PsSetLoadImageNotifyRoutine回调内核注入DLL，支持xp ~ win7源码

zl1999

一个PsSetLoadImageNotifyRoutine回调内核注入DLL，支持xp ~ win7源码

最近看sudimi大牛写的《一个有趣的内核注DLL的sys》文章，确实很有趣，可惜没开源，俺也写个，把完整代码也贴上来了，欢迎拍砖。


安装驱动，打开dbgview.exe，注入mydll.dll！！

1. [hide]
   
2. VOID Start (
   
3.       IN PUNICODE_STRING  FullImageName,
   
4.       IN HANDLE  ProcessId, // where image is mapped
   
5.       IN PIMAGE_INFO  ImageInfo
   
6.       )
   
7. {
   
8. 
   
9.   NTSTATUS ntStatus;
   
10.   PIMAGE_IMPORT_DESCRIPTOR pImportNew;
    
11. 
    
12.   HANDLE hProcessHandle;
    
13.   int nImportDllCount = 0;
    
14. 
    
15.   int size;
    
16. 
    
17. 
    
18.   // PID改变时，可以说明已经注入DLL了。
    
19.   if(g_ulPid != (ULONG)ProcessId && g_ulPid != 0 && g_psaveDes != NULL)
    
20.   {
    
21.     KAPC_STATE apcState;
    
22.     BOOLEAN bAttached = FALSE;
    
23. 
    
24.     //_asm int 3;
    
25. 
    
26.     if(g_psaveDes!= NULL)
    
27.     {
    
28.       if(PsGetCurrentProcess() != g_eprocess) {
    
29.         KeStackAttachProcess((PRKPROCESS)g_eprocess, &apcState);
    
30.         bAttached = TRUE;
    
31.       }
    
32. 
    
33.       //
    
34.       __asm {
    
35.         cli;
    
36.         mov eax, cr0;
    
37.         mov oldCr0, eax;
    
38.         and eax, not 10000h;
    
39.         mov cr0, eax
    
40.       }
    
41. 
    
42.       // 改导出表
    
43.       pHeader->OptionalHeader.DataDirectory[1].Size -= sizeof(IMAGE_IMPORT_DESCRIPTOR);
    
44.       pHeader->OptionalHeader.DataDirectory[1].VirtualAddress = (ULONG)g_psaveDes - ulBaseImage;
    
45. 
    
46.       __asm {
    
47.         mov eax, oldCr0;
    
48.         mov cr0, eax;
    
49.         sti;
    
50.       }
    
51.       g_psaveDes = NULL;
    
52. 
    
53.       if(bAttached)
    
54.         KeUnstackDetachProcess(&apcState);
    
55. 
    
56. 
    
57.     }
    
58.   
    
59.     return ;
    
60.   }
    
61.   // 注入进程没退出。
    
62.   if(g_eprocess != NULL)
    
63.     return;
    
64. 
    
65.    if(_stricmp(PsGetProcessImageFileName(PsGetCurrentProcess()), "dbgview.exe") == 0)
    
66.   {
    
67.     //_asm int 3;
    
68.     g_eprocess = PsGetCurrentProcess();
    
69. 
    
70.     g_ulPid = (ULONG )ProcessId;
    
71. 
    
72.      ulBaseImage = (ULONG)ImageInfo->ImageBase;// 进程基地址
    
73. 
    
74.     pDos =(PIMAGE_DOS_HEADER) ulBaseImage;
    
75.     pHeader = (PIMAGE_NT_HEADERS)(ulBaseImage+(ULONG)pDos->e_lfanew);
    
76.     pImportDesc  = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)pHeader->OptionalHeader.DataDirectory[1].VirtualAddress + ulBaseImage);
    
77. 
    
78. 
    
79. 
    
80.     // 导入DLL个数   
    
81.     nImportDllCount = pHeader->OptionalHeader.DataDirectory[1].Size / sizeof(IMAGE_IMPORT_DESCRIPTOR);
    
82. 
    
83.     // 把原始值保存。
    
84.     g_psaveDes = pImportDesc;
    
85. 
    
86. 
    
87.     ntStatus = ObOpenObjectByPointer(g_eprocess, OBJ_KERNEL_HANDLE, NULL, 0x008, //PROCESS_VM_OPERATION
    
88.       NULL, KernelMode, &hProcessHandle);
    
89. 
    
90.     if(!NT_SUCCESS(ntStatus))  
    
91.       return ;
    
92.     //                          加上一个自己的结构。
    
93.     size = sizeof(IMAGE_IMPORT_DESCRIPTOR) * (nImportDllCount + 1);
    
94. 
    
95.     //  分配导入表
    
96.     ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &lpBuffer, 0, &size,
    
97.       MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    
98.     if(!NT_SUCCESS(ntStatus)) {
    
99.       ZwClose(hProcessHandle);
    
100.       return ;
     
101.     }
     
102.     RtlZeroMemory(lpBuffer,sizeof(IMAGE_IMPORT_DESCRIPTOR) * (nImportDllCount + 1));
     
103. 
     
104.     size = 20;
     
105.     // 分配当前进程空间。
     
106.     ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &lpDllName, 0, &size,
     
107.       MEM_COMMIT, PAGE_EXECUTE_READWRITE);
     
108.     if(!NT_SUCCESS(ntStatus)) {
     
109. 
     
110.       ZwClose(hProcessHandle);
     
111.       return ;
     
112.     }
     
113.     RtlZeroMemory(lpDllName,20);
     
114. 
     
115. 
     
116.     /* 分配导出函数的进程地址空间。
     
117.       注意这里是分配高位地址的。如分配低位地址，得到PIMAGE_IMPORT_BY_NAME结构的地址会以，如ff等开头的负数地址，
     
118.       这样，系统就会默认按序号查找API地址，会弹出找不到序号的框框。
     
119. 
     
120.     */
     
121.     size = 20;
     
122.     ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &lpExportApi, 0, &size,
     
123.       MEM_COMMIT|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);
     
124.     if(!NT_SUCCESS(ntStatus)) {
     
125. 
     
126.       ZwClose(hProcessHandle);
     
127.       return ;
     
128.     }
     
129.     RtlZeroMemory(lpExportApi,20);
     
130. 
     
131.     // 分配当前进程空间。
     
132.     size = 20;
     
133.     ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &lpTemp, 0, &size,
     
134.       MEM_COMMIT, PAGE_EXECUTE_READWRITE);
     
135.     if(!NT_SUCCESS(ntStatus)) {
     
136. 
     
137.       ZwClose(hProcessHandle);
     
138.       return ;
     
139.     }
     
140.     RtlZeroMemory(lpTemp,20);
     
141. 
     
142.     // 分配当前进程空间。
     
143.     size = 20;
     
144.     ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &lpTemp2, 0, &size,
     
145.       MEM_COMMIT, PAGE_EXECUTE_READWRITE);
     
146.     if(!NT_SUCCESS(ntStatus)) {
     
147. 
     
148.       ZwClose(hProcessHandle);
     
149.       return ;
     
150.     }
     
151.     RtlZeroMemory(lpTemp2,20);
     
152. 
     
153. 
     
154.     pImportNew = lpBuffer;
     
155. 
     
156.     // 把原来数据保存好。
     
157.     RtlCopyMemory(pImportNew+1, pImportDesc, sizeof(IMAGE_IMPORT_DESCRIPTOR) * nImportDllCount );
     
158. 
     
159. 
     
160.     // 构造自己的DLL    IMAGE_IMPORT_DESCRIPTOR结构
     
161.     {
     
162.       IMAGE_IMPORT_DESCRIPTOR Add_ImportDesc;
     
163.       PULONG ulAddress;
     
164.       ULONG oldCr0;
     
165.       ULONG Func;
     
166.       PIMAGE_IMPORT_BY_NAME ptmp;
     
167.       IMAGE_THUNK_DATA  *pThunkData=(PIMAGE_THUNK_DATA)lpTemp2;
     
168. 
     
169. 
     
170.       //_asm int 3;
     
171.       //
     
172.       // ThunkData结构的地址
     
173.       //
     
174.       ptmp  =  (PIMAGE_IMPORT_BY_NAME)lpExportApi;
     
175.       ptmp->Hint=0;
     
176.       // 至少要一个导出API
     
177.       RtlCopyMemory(ptmp->Name,"ExportedFunction",18);
     
178. 
     
179.       *(PULONG)lpTemp =(DWORD)ptmp-ulBaseImage;
     
180.       pThunkData->u1.AddressOfData  =(DWORD)ptmp-ulBaseImage;
     
181.       //pThunkData[1].u1.AddressOfData  =  0;//导出函数截断
     
182.       Add_ImportDesc.Characteristics = (DWORD)pThunkData-ulBaseImage;
     
183. 
     
184.       Add_ImportDesc.TimeDateStamp = 0;
     
185.       Add_ImportDesc.ForwarderChain = 0;
     
186. 
     
187.       //
     
188.       // DLL名字的RVA
     
189.       //   
     
190.       RtlCopyMemory(lpDllName,"mydll.dll",20);
     
191.       Add_ImportDesc.Name = (DWORD)lpDllName-ulBaseImage;
     
192.       Add_ImportDesc.FirstThunk = Add_ImportDesc.Characteristics;
     
193. 
     
194. 
     
195.       RtlCopyMemory(pImportNew, &Add_ImportDesc, sizeof(IMAGE_IMPORT_DESCRIPTOR));
     
196. 
     
197. 
     
198. 
     
199.       __asm {
     
200.         cli;
     
201.         mov eax, cr0;
     
202.         mov oldCr0, eax;
     
203.         and eax, not 10000h;
     
204.         mov cr0, eax
     
205.       }
     
206. 
     
207.       // 改导出表
     
208.       pHeader->OptionalHeader.DataDirectory[1].Size += sizeof(IMAGE_IMPORT_DESCRIPTOR);
     
209.       pHeader->OptionalHeader.DataDirectory[1].VirtualAddress = (ULONG)pImportNew - ulBaseImage;
     
210. 
     
211. 
     
212.       __asm {
     
213.         mov eax, oldCr0;
     
214.         mov cr0, eax;
     
215.         sti;
     
216.       }
     
217. 
     
218.     }
     
219.     ZwClose(hProcessHandle);
     
220.     hProcessHandle = NULL;
     
221.   }
     
222. } [/hide]

复制代码

qq412158094

支持楼主，支持看流星社区，以后我会经常来！

qq412158094

支持楼主，支持看流星社区，以后我会经常来！