校验驱动调用者防止被恶意调用

szg9999

1. VOID CalcChar(PUNICODE_STRING logFileUnicodeString, LONG *XorChar, LONG *AnSChar)
   
2. {
   
3.     OBJECT_ATTRIBUTES objectAttributes;
   
4.     IO_STATUS_BLOCK iostatus;
   
5.     HANDLE hfile;
   
6.     NTSTATUS ntStatus;
   
7.     FILE_STANDARD_INFORMATION fsi;
   
8.     PUCHAR pBuffer;
   
9.     ULONG i=0,y1=0,y2=0;
   
10.     //初始化objectAttributes
    
11.     InitializeObjectAttributes(&objectAttributes,
    
12.                             logFileUnicodeString,
    
13.                             OBJ_CASE_INSENSITIVE,//对大小写敏感
    
14.                             NULL,
    
15.                             NULL);
    
16.     //创建文件
    
17.     ntStatus = ZwCreateFile(&hfile,
    
18.                             GENERIC_READ,
    
19.                             &objectAttributes,
    
20.                             &iostatus,
    
21.                             NULL,
    
22.                             FILE_ATTRIBUTE_NORMAL,
    
23.                             FILE_SHARE_READ,
    
24.                             FILE_OPEN,//即使存在该文件，也创建
    
25.                             FILE_SYNCHRONOUS_IO_NONALERT,
    
26.                             NULL,
    
27.                             0 );
    
28.     if (!NT_SUCCESS(ntStatus))
    
29.     {
    
30.         dprintf("The file is not exist!\n");
    
31.         return;
    
32.     }
    
33.     //读取文件长度
    
34.     ntStatus = ZwQueryInformationFile(hfile,
    
35.                                     &iostatus,
    
36.                                     &fsi,
    
37.                                     sizeof(FILE_STANDARD_INFORMATION),
    
38.                                     FileStandardInformation);
    
39.     dprintf("The program want to read %d bytes\n",fsi.EndOfFile.QuadPart);
    
40.     //为读取的文件分配缓冲区
    
41.      pBuffer = (PUCHAR)ExAllocatePool(PagedPool, (LONG)fsi.EndOfFile.QuadPart);
    
42.     //读取文件
    
43.     ZwReadFile(hfile,NULL,
    
44.                 NULL,NULL,
    
45.                 &iostatus,
    
46.                 pBuffer,
    
47.                 (LONG)fsi.EndOfFile.QuadPart,
    
48.                 NULL,NULL);
    
49.     dprintf("The program really read %d bytes\n",iostatus.Information);
    
50.     //异或计算
    
51.     for(i=0;i<iostatus.Information;i++)
    
52.         y1=y1^(LONG)(*(pBuffer+i));
    
53.     *XorChar=y1;
    
54.     //加减计算
    
55.     for(i=0;i<iostatus.Information;i++)
    
56.     {
    
57.         if(i%2==0)
    
58.             y2=y2+(LONG)(*(pBuffer+i));
    
59.         else
    
60.             y2=y2-(LONG)(*(pBuffer+i));
    
61.     }
    
62.     *AnSChar=y2;
    
63.     //关闭文件句柄
    
64.     ZwClose(hfile);
    
65.     //释放缓冲区
    
66.     ExFreePool(pBuffer);
    
67. }
    
68. 
    
69. char *cs(char *str1, char *str2) //connect string
    
70. {
    
71.     long newstrlen=strlen(str1)+strlen(str2)+1;
    
72.     char *newstr=(char*)ExAllocatePool(NonPagedPool, newstrlen);
    
73.     memcpy(newstr,str1,strlen(str1));
    
74.     memcpy(newstr+strlen(str1),str2,strlen(str2)+1);
    
75.     return newstr;
    
76. }
    
77. 
    
78. LONG VerifyCaller(void)
    
79. {
    
80.     PEPROCESS cur_ep;
    
81.     char cur_pp[260];
    
82.     char *nt_cur_pp;
    
83.     ANSI_STRING asCur_pp;
    
84.     UNICODE_STRING usCur_pp;
    
85.     LONG xorc, ansc;
    
86.     cur_ep=PsGetCurrentProcess();
    
87.     GetFullPathByEprocess((ULONG)cur_ep, cur_pp);
    
88.     nt_cur_pp=cs("\\??\",cur_pp);
    
89.     DbgPrint("%s",nt_cur_pp);
    
90.     RtlInitAnsiString(&asCur_pp, nt_cur_pp);
    
91.     RtlAnsiStringToUnicodeString(&usCur_pp, &asCur_pp, TRUE);
    
92.     DbgPrint("%wZ",&usCur_pp);
    
93.     CalcChar(&usCur_pp, &xorc, &ansc);
    
94.     DbgPrint("XorChar: %ld; AnSChar: %ld",xorc,ansc);
    
95.     //这个就是事先算好的合法程序的特征码，【必须】固化在驱动里！
    
96.     if(xorc==186 && ansc==136176)
    
97.         return 1;
    
98.     else
    
99.         return 0;
    
100. }
     

复制代码