[源码]监控系统加载模块-猥琐流

kenhuang

可动态监控驱动、dll、exe加载，这两天刚倒腾出来的
windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过

1. #include <ntddk.h>
   
2. #include "nt_help.h"
   
3. 
   
4. DRIVER_INITIALIZE DriverEntry;
   
5. 
   
6. typedef struct _OBJECT_TYPE_INITIALIZER {
   
7.     USHORT Length;
   
8.     BOOLEAN UseDefaultObject;
   
9.     BOOLEAN CaseInsensitive;
   
10. #if WINVER>=0x0600
    
11.     ULONG ObjectTypeCode;
    
12. #endif
    
13.     ULONG InvalidAttributes;
    
14.     GENERIC_MAPPING GenericMapping;
    
15.     ULONG ValidAccessMask;
    
16.     BOOLEAN SecurityRequired;
    
17.     BOOLEAN MaintainHandleCount;
    
18.     BOOLEAN MaintainTypeList;
    
19.     POOL_TYPE PoolType;
    
20.     ULONG DefaultPagedPoolCharge;
    
21.     ULONG DefaultNonPagedPoolCharge;
    
22.     PVOID DumpProcedure;
    
23.     PVOID OpenProcedure;
    
24.     PVOID CloseProcedure;
    
25.     PVOID DeleteProcedure;
    
26.     PVOID ParseProcedure;
    
27.     PVOID SecurityProcedure;
    
28.     PVOID QueryNameProcedure;
    
29.     PVOID OkayToCloseProcedure;
    
30. } OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;
    
31. 
    
32. typedef struct _OBJECT_TYPE {
    
33. #if WINVER<0x0600
    
34.     ERESOURCE Mutex;
    
35. #endif
    
36.     LIST_ENTRY TypeList;
    
37.     UNICODE_STRING Name;            // Copy from object header for convenience
    
38.     PVOID DefaultObject;
    
39.     ULONG Index;
    
40.     ULONG TotalNumberOfObjects;
    
41.     ULONG TotalNumberOfHandles;
    
42.     ULONG HighWaterNumberOfObjects;
    
43.     ULONG HighWaterNumberOfHandles;
    
44.     OBJECT_TYPE_INITIALIZER TypeInfo;
    
45. } OBJECT_TYPE, *POBJECT_TYPE;
    
46. 
    
47. extern POBJECT_TYPE* MmSectionObjectType;
    
48. PVOID pNtCreateSection = NULL;
    
49. SYSTEM_MODULE_INFORMATION ntModInfo = {0};
    
50. 
    
51. #pragma alloc_text(INIT, DriverEntry)
    
52. 
    
53. NTSTATUS DevicePassthrough(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
    
54. {
    
55.         NTSTATUS status = STATUS_SUCCESS;
    
56.         PIO_STACK_LOCATION  irpSp;
    
57.         
    
58.         irpSp = IoGetCurrentIrpStackLocation(Irp);
    
59.         Irp->IoStatus.Status = status;
    
60.         IoCompleteRequest(Irp, IO_NO_INCREMENT);
    
61.         return status;
    
62. }
    
63. 
    
64. VOID DriverUnload (IN PDRIVER_OBJECT DriverObject)
    
65. {
    
66.         (*MmSectionObjectType)->TypeInfo.OpenProcedure = NULL;
    
67.         KdPrint(("DriverUnload Done!\n"));
    
68. }
    
69. 
    
70. #if WINVER>=0x0600
    
71. NTSTATUS HookSectionOpen(
    
72.     IN ULONG OpenReason,
    
73.     IN ULONG AccessMode,
    
74.     IN PEPROCESS Process OPTIONAL,
    
75.     IN PVOID Object,
    
76.     IN ACCESS_MASK* GrantedAccess,
    
77.     IN ULONG HandleCount
    
78.     )
    
79. #else
    
80. NTSTATUS HookSectionOpen(
    
81.     IN ULONG OpenReason,
    
82.     IN PEPROCESS Process OPTIONAL,
    
83.     IN PVOID Object,
    
84.     IN ACCESS_MASK GrantedAccess,
    
85.     IN ULONG HandleCount
    
86.     )
    
87. #endif
    
88. {
    
89.         PVOID* esp = (PVOID*)&esp;
    
90.         PVOID* esp_end = (PVOID*)((((DWORD64)esp>>12) + 1)<<12);        //4k round up
    
91.         PVOID* p = esp;
    
92.         ULONG SectionPageProtection, AllocationAttributes;
    
93.         HANDLE FileHandle;
    
94.         NTSTATUS Status;
    
95. 
    
96.         /*
    
97.          * do stack walk back to NtCreateSection function
    
98.          */
    
99.         while (p < esp_end &&
    
100.                 (*p < pNtCreateSection ||
     
101.                  *p > (PVOID)((PBYTE)pNtCreateSection + 0x300)))
     
102.                 p++;
     
103. 
     
104.         if (p >= esp_end){
     
105.                 //KdPrint(("no found NtCreateSection %p -> %p\n", esp, esp_end));
     
106.                 return STATUS_SUCCESS;
     
107.         }
     
108. 
     
109.         //KdPrint(("%p HookSectionOpen-Object:%p esp:%p %p\n", pNtCreateSection, Object, esp, *p));
     
110. #ifdef _WIN64
     
111.         /*
     
112.          * esp layout look likes[2003 X64 DUMP]:
     
113.          fffff800`0104113d nt!KiSystemServiceCopyEnd+0x3 retaddr <-------call nt!NtCreateSection
     
114.          fffffadf`f662ec00  00000000`00000000 param1
     
115.          fffffadf`f662ec08  00000000`000f001f param2 DesiredAccess
     
116.          fffffadf`f662ec10  00000000`00000000
     
117.          fffffadf`f662ec18  00000000`00000000
     
118.          fffffadf`f662ec20  00000100`00000010 SectionPageProtection
     
119.          fffffadf`f662ec28  00000000`01000000 AllocationAttributes
     
120.          fffffadf`f662ec30  00000000`0000054c FileHandle
     
121.          * - ...
     
122.          */
     
123.         p++;
     
124.         /*
     
125.          * search retaddr -> nt!KiSystemServiceCopyEnd
     
126.          */
     
127.         while (p < esp_end &&
     
128.                 (*p < ntModInfo.ImageBase ||
     
129.                  *p > (PVOID)((PBYTE)ntModInfo.ImageBase + ntModInfo.ImageSize)))
     
130.                 p++;
     
131. 
     
132.         if (p >= esp_end){
     
133.                 //KdPrint(("no found nt!KiSystemxxxx %p -> %p\n", esp, esp_end));
     
134.                 return STATUS_SUCCESS;
     
135.         }
     
136. #else
     
137.         /* stack DUMP from 2003/x86
     
138.          * ebp = p - 1
     
139.          fa06f4d8  fa06f540
     
140.          fa06f4dc  80908715 nt!NtCreateSection+0x15c
     
141.          ...
     
142.          fa06f540  fa06f564
     
143.          fa06f544  808234cb nt!KiFastCallEntry+0xf8
     
144.          fa06f548  fa06f668 param1
     
145.          */
     
146.         p = (PVOID*)*(p - 1);
     
147.         p++;
     
148. #endif
     
149. 
     
150.         SectionPageProtection = (ULONG)*(p + 5);
     
151.         AllocationAttributes = (ULONG)*(p + 6);
     
152.         FileHandle = *(p + 7);
     
153. 
     
154.         //KdPrint(("%x %x %p\n", SectionPageProtection, AllocationAttributes, FileHandle));
     
155. 
     
156.         if (FileHandle
     
157.                 && SectionPageProtection == PAGE_EXECUTE
     
158.                 && (AllocationAttributes == SEC_IMAGE || AllocationAttributes == 0x100000)){
     
159.                 /* windows7 AllocationAttributes = 0x100000 to LoadDriver */
     
160.                 PFILE_OBJECT File;
     
161. 
     
162.                 Status = ObReferenceObjectByHandle (FileHandle,
     
163.                                 0,
     
164.                                 NULL,
     
165.                                 KernelMode,
     
166.                                 (PVOID *)&File,
     
167.                                 NULL);
     
168. 
     
169.                 if (!NT_SUCCESS(Status)) {
     
170.                         return STATUS_SUCCESS;
     
171.                 }
     
172.                 KdPrint(("FileName:%wZ\n", &File->FileName));
     
173.                 ObDereferenceObject(File);
     
174.         }
     
175. 
     
176.         return STATUS_SUCCESS;
     
177. }
     
178. 
     
179. BOOL GetNtImgBase(PSYSTEM_MODULE_INFORMATION modInfo)
     
180. {
     
181.         PSYSMODULELIST sysModuleList = NULL;
     
182.         ULONG size, i;
     
183. 
     
184.         NtQuerySystemInformation(SystemModuleInformation, &size, 0, &size);
     
185.         sysModuleList = ExAllocatePoolWithTag(PagedPool, size, 'hlpm');
     
186. 
     
187.         if (sysModuleList){
     
188.                 NtQuerySystemInformation(SystemModuleInformation, sysModuleList, size, NULL);
     
189.                 /* nt module should be the first one */
     
190.                 *modInfo = *sysModuleList->Modules;
     
191.                 ExFreePool(sysModuleList);
     
192.                 return TRUE;
     
193.         }
     
194.         return FALSE;
     
195. }
     
196. 
     
197. NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
     
198. {
     
199.         DWORD i;
     
200.         UNICODE_STRING sFuncName;
     
201.         
     
202.         RtlInitUnicodeString(&sFuncName, L"NtCreateSection");
     
203.         pNtCreateSection = MmGetSystemRoutineAddress(&sFuncName);
     
204. 
     
205.         if (!GetNtImgBase(&ntModInfo)){
     
206.                 KdPrint(("EnumSysModule nt base failed!\n"));
     
207.                 return STATUS_UNSUCCESSFUL;
     
208.         }
     
209. 
     
210.         KdPrint(("nt:%p pNtCreateSection:%p\nMmSectionObjectType:%p %p %p\n",
     
211.                                 ntModInfo.ImageBase,
     
212.                                 pNtCreateSection,
     
213.                                 *MmSectionObjectType,
     
214.                                 (*MmSectionObjectType)->TypeInfo.OpenProcedure,
     
215.                                 (*MmSectionObjectType)->TypeInfo.DeleteProcedure));
     
216.         
     
217.         (*MmSectionObjectType)->TypeInfo.OpenProcedure = HookSectionOpen;
     
218. 
     
219.         for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
     
220.                 DriverObject->MajorFunction[i] = DevicePassthrough;
     
221. 
     
222.         DriverObject->DriverUnload = DriverUnload;
     
223. 
     
224.         return STATUS_SUCCESS;
     
225. }
     

复制代码