LYSHARK

摘要： 本章将探索内核级DLL模块注入实现原理，DLL模块注入在应用层中通常会使用`CreateRemoteThread`直接开启远程线程执行即可，驱动级别的注入有多种实现原理，而其中最简单的一种实现方式则是通过劫持EIP的方式实现，其实现原理可总结为，挂起目标进程，停止目标进程EIP的变换，在目标进程开启空间，并把相关的指令机器码和数据拷贝到里面去，然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置，执行相关代码后，然后再次跳转回来执行原始指令集。 阅读全文

摘要： 在某些时候我们的系统中会出现一些无法被正常删除的文件，如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉，而所谓的解锁其实就是释放掉文件描述符（句柄表）占用，文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态，然后在调用`ZwClose`将其文件关闭，强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除，虽此类代码较为普遍，但作为揭秘ARK工具来说也必须要将其分析并讲解一下。 阅读全文

摘要： 还记得`《驱动开发：内核LoadLibrary实现DLL注入》`中所使用的注入技术吗，我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行，本章将继续探索一个简单的问题，如何注入`ShellCode`代码实现反弹Shell，这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数，一个是`StartAddress`开始执行的内存块，另一个是`StartParameter`传入内存块的变量列表，而如果将`StartParameter`地址填充为`NULL`则表明不传递任何参数，也就是只在线程中执行`ShellCode`代码，利用这个特点我们就可以在上一篇文章的基础之上简单改进代码即可实现驱动级后门注入的功能。 阅读全文

摘要： 远程线程注入是最常用的一种注入技术，在应用层注入是通过`CreateRemoteThread`这个函数实现的，通过该函数通过创建线程并调用 `LoadLibrary` 动态载入指定的DLL来实现注入，而在内核层同样存在一个类似的内核函数`RtlCreateUserThread`，但需要注意的是此函数未被公开，`RtlCreateUserThread`其实是对`NtCreateThreadEx`的包装，但最终会调用`ZwCreateThread`来实现注入，`RtlCreateUserThread`是`CreateRemoteThread`的底层实现。 阅读全文

摘要： 在笔者前一篇文章`《驱动开发：内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作，本章我们将实现内核下遍历文件或目录这一功能，该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现，该函数可返回给定文件句柄指定的目录中文件的各种信息，此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下，通过遍历该目录即可获取到文件的详细参数，如下将具体分析并实现遍历目录功能。 阅读全文

摘要： 在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可，而如果在内核中读写文件则应用层的API显然是无法被使用的，内核层需要使用内核专有API，某些应用层下的API只需要增加Zw开头即可在内核中使用，例如本章要讲解的文件与目录操作相关函数，多数ARK反内核工具都具有对文件的管理功能，实现对文件或目录的基本操作功能也是非常有必要的。 阅读全文

摘要： WFP框架是微软推出来替代TDIHOOK传输层驱动接口网络通信的方案，其默认被设计为分层结构，该框架分别提供了用户态与内核态相同的AIP函数，在两种模式下均可以开发防火墙产品，以下代码我实现了一个简单的驱动过滤防火墙。WFP 框架分为两大层次模块,用户态基础过滤引擎`BFE (BaseFilteringEngine)` ,以及内核态过滤引擎 `KMFE (KMFilteringEngine)`,基础过滤引擎对上提供C语言调用方式的API以及RPC接口,这些接口都被封装在`FWPUCLNT.dll`模块中,开发时可以调用该模块中的导出函数. 阅读全文

摘要： 在笔者上篇文章`《驱动开发：内核扫描SSDT挂钩状态》`中简单介绍了如何扫描被挂钩的SSDT函数，并简单介绍了如何解析导出表，本章将继续延申PE导出表的解析，实现一系列灵活的解析如通过传入函数名解析出函数的RVA偏移，ID索引，Index下标等参数，并将其封装为可直接使用的函数，以在后期需要时可以被直接引用，同样为了节约篇幅本章中的`LoadKernelFile()`内存映射函数如需要使用请去前一篇文章中自行摘取。 阅读全文

摘要： 在笔者上一篇文章`《驱动开发：内核实现SSDT挂钩与摘钩》`中介绍了如何对`SSDT`函数进行`Hook`挂钩与摘钩的，本章将继续实现一个新功能，如何`检测SSDT`函数是否挂钩，要实现检测`挂钩状态`有两种方式，第一种方式则是类似于`《驱动开发：摘除InlineHook内核钩子》`文章中所演示的通过读取函数的前16个字节与`原始字节`做对比来判断挂钩状态，另一种方式则是通过对比函数的`当前地址`与`起源地址`进行判断，为了提高检测准确性本章将采用两种方式混合检测。 阅读全文

摘要： 在前面的文章`《驱动开发：内核解析PE结构导出表》`中我们封装了两个函数`KernelMapFile()`函数可用来读取内核文件，`GetAddressFromFunction()`函数可用来在导出表中寻找指定函数的导出地址，本章将以此为基础实现对特定`SSDT`函数的`Hook`挂钩操作，与`《驱动开发：内核层InlineHook挂钩函数》`所使用的挂钩技术基本一致，不同点是前者使用了`CR3`的方式改写内存，而今天所讲的是通过`MDL映射`实现，此外前者挂钩中所取到的地址是通过`GetProcessAddress()`取到的动态地址，而今天所使用的方式是通过读取导出表寻找。 阅读全文

摘要： 本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到`《驱动开发：内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数，在映射后对其PE格式进行相应的解析，并实现转换函数。 阅读全文

摘要： 在笔者上一篇文章`《驱动开发：内核解析PE结构导出表》`介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。 阅读全文

摘要： 在笔者的上一篇文章`《驱动开发：内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址，并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，导出表无法动态获取，解析导出表则必须读入内核模块到内存才可继续解析，所以我们需要分两步走，首先读入内核磁盘文件到内存，然后再通过`ntimage.h`中的系列函数解析即可。 阅读全文

摘要： 如前所述，在前几章内容中笔者简单介绍了`内存读写`的基本实现方式，这其中包括了`CR3切换`读写，`MDL映射`读写，`内存拷贝`读写，本章将在如前所述的读写函数进一步封装，并以此来实现驱动读写内存浮点数的目的。内存`浮点数`的读写依赖于`读写内存字节`的实现，因为浮点数本质上也可以看作是一个字节集，对于`单精度浮点数`来说这个字节集列表是4字节，而对于`双精度浮点数`，此列表长度则为8字节。 阅读全文

摘要： 关于内存管理和分页模式，不同的操作系统和体系结构可能会有略微不同的实现方式。9-9-9-9-12的分页模式是一种常见的分页方案，其中物理地址被分成四级页表：PXE（Page Directory Pointer Table Entry）、PPE（Page Directory Entry）、PDE（Page Table Entry）和PTE（Page Table Entry）。这种分页模式可以支持大量的物理内存地址映射到虚拟内存地址空间中。每个级别的页表都负责将虚拟地址映射到更具体的物理地址。通过这种层次化的页表结构，操作系统可以更有效地管理和分配内存。 阅读全文

摘要： 在笔者上一篇文章`《驱动开发：内核MDL读写进程内存》`简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用`capstone`引擎实现这个功能。 阅读全文

摘要： 在前面的文章`《驱动开发：运用MDL映射实现多次通信》`LyShark教大家使用`MDL`的方式灵活的实现了内核态多次输出结构体的效果，但是此种方法并不推荐大家使用原因很简单首先内核空间比较宝贵，其次内核里面不能分配太大且每次传出的结构体最大不能超过`1024`个，而最终这些内存由于无法得到更好的释放从而导致坏堆的产生，这样的程序显然是无法在生产环境中使用的，如下`LyShark`将教大家通过在应用层申请空间来实现同等效果，此类传递方式也是多数ARK反内核工具中最常采用的一种。 阅读全文

摘要： 在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了`ZwAllocateVirtualMemory`这个函数用于专门分配虚拟空间，而与之相对应的则是`ZwFreeVirtualMemory`此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来`LyShark`将从API开始介绍如何运用这两个函数实现内存分配与使用，并以此来作为驱动读写篇的入门知识。 阅读全文

摘要： 在前几篇文章中`LyShark`通过多种方式实现了驱动程序与应用层之间的通信，这其中就包括了通过运用`SystemBuf`缓冲区通信，运用`ReadFile`读写通信，运用`PIPE`管道通信，以及运用`ASYNC`反向通信，这些通信方式在应对`一收一发`模式的时候效率极高，但往往我们需要实现一次性吐出多种数据，例如ARK工具中当我们枚举内核模块时，往往应用层例程中可以返回几条甚至是几十条结果，如下案例所示，这对于开发一款ARK反内核工具是必须要有的功能。 阅读全文

摘要： 本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异，本章将简单介绍`IO/DPC`这两种定时器的使用技巧。 阅读全文

摘要： 本章将探索驱动程序开发的基础部分，了解驱动对象`DRIVER_OBJECT`结构体的定义，一般来说驱动程序`DriverEntry`入口处都会存在这样一个驱动对象，该对象内所包含的就是当前所加载驱动自身的一些详细参数，例如驱动大小，驱动标志，驱动名，驱动节等等，每一个驱动程序都会存在这样的一个结构，首先来看一下微软对其的定义，此处我已将重要字段进行了备注。 阅读全文

摘要： Boost 利用ASIO框架实现一个跨平台的反向远控程序，该远控支持保存套接字，当有套接字连入时，自动存储到map容器，当客户下线时自动从map容器中移除，当我们需要与特定客户端通信时，只需要指定客户端ID号即可。 阅读全文

摘要： 在正式开始驱动开发之前，需要自行搭建驱动开发的必要环境，首先我们需要安装`Visual Studio 2013`这款功能强大的程序开发工具，在课件内请双击`ISO`文件并运行内部的`vs_ultimate.exe`安装包，`Visual Studio`的安装非常的简单，您只需要按照提示全部选择默认参数即可，根据机器配置不同可能需要等待一段时间； 阅读全文

摘要： 这里在实验之前需要下载 Bochs-win32-2.6.11 作者使用的是Linux版本的，在Linux写代码不太舒服，所以最好在Windows上做实验，下载好虚拟机以后还需要下载Nasm汇编器，以及GCC编译器，为了能够使用DD命令实现磁盘拷贝，这里你可以安装windows 10 下面的子系统Ub 阅读全文

摘要： 目前我们已进入保护模式,但依然会受到限制,虽然地址空间达到了4GB,但此空间是包括操作系统共享的4GB空间，我们把段基址+段内偏移地址称为线性地址，线性地址是唯一的，只属于某一个进程。在我们机器上即使只有512MB的内存，每个进程自己的内存空间也是4GB，这是指的虚拟内存空间。一直以来我们都是在内存 阅读全文

摘要： 操作系统是用来管理与协调硬件工作的，开发一款操作系统有利于理解底层的运转逻辑，本篇内容主要用来理解操作系统是如何启动的，又是如何加载磁盘中的内核的，该系列文章参考各类底层书籍，通过自己的理解并加以叙述，让内容变得更加简单，一目了然，即可学到知识又能提高自己的表述能力。 注释： 该系列笔记是在学习《操 阅读全文

摘要： Ajax是异步JavaScript和XML可用于前后端交互，在之前`《Flask 框架：运用Ajax实现数据交互》`简单实现了前后端交互，本章将通过`Ajax`轮询获取后端的数据，前台使用`echart`绘图库进行图形的生成与展示，后台通过`render_template`方法返回一串JSON数据集，前台收到后将其应用到绘图库上，实现动态监控内存利用率的这个功能。 阅读全文

摘要： 在上一篇文章`《驱动开发：内核封装WSK网络通信接口》`中，`LyShark`已经带大家看过了如何通过WSK接口实现套接字通信，但WSK实现的通信是内核与内核模块之间的，而如果需要内核与应用层之间通信则使用TDK会更好一些因为它更接近应用层，本章将使用TDK实现，TDI全称传输驱动接口，其主要负责连接`Socket`和协议驱动，用于实现访问传输层的功能，该接口比`NDIS`更接近于应用层，在早期Win系统中常用于实现过滤防火墙，同样经过封装后也可实现通信功能，本章将运用TDI接口实现驱动与应用层之间传输字符串，结构体，多线程收发等技术。 阅读全文

摘要： 本章`LyShark`将带大家学习如何在内核中使用标准的`Socket`套接字通信接口，我们都知道`Windows`应用层下可直接调用`WinSocket`来实现网络通信，但在内核模式下应用层API接口无法使用，内核模式下有一套专有的`WSK`通信接口，我们对WSK进行封装，让其与应用层调用规范保持一致，并实现内核与内核直接通过`Socket`通信的案例。 阅读全文

摘要： 内核中的`InlineHook`函数挂钩技术其实与应用层完全一致，都是使用劫持执行流并跳转到我们自己的函数上来做处理，唯一的不同只有一个内核`Hook`只针对内核API函数，虽然只针对内核API函数实现挂钩但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响，这就直接决定了在内核层挂钩的效果是应用层无法比拟的，对于安全从业者来说学会使用内核挂钩也是很重要的。 阅读全文