相信越来越多的人都喜欢把驱动代码放到Pool里执行,但由此会产生一个问题,在Pool里的驱动代码是不能出异常的,所有的异常处理都会失效,在有些我们不得不使用异常,如操作Ring3内存,这时我们就必须解决掉这个问题。
X86和x64在异常处理上稍有一些不同,先来看x86上的异常处理。
系统捕获到异常后会执行到函数RtlDispatchException,函数RtlDispatchException再调用RtlLookupFunctionEntry,RtlLookupFunctionEntry函数再调用RtlLookupFunctionTable。RtlLookupFunctionTable这个函数的作用是在PsLoadedModuleList链在根据异常的EIP地址找到发生异常的模块。由于Pool里执行的代码不属于任何一个模块,这个函数就会返回失败,异常处理就会失去作用,产生一个蓝屏。
......
ObRegisterCallbacks这个函数是在Vista sp1之后的版本中添加的,可用来监控系统中对进线程句柄的操作,如打开进程、复制线程句柄等。
但是使用这个函数对驱动有特殊的要求,必须使用特殊的签名才行!否则这个函数会返回0xC0000022(拒绝访问),逆向此函数可以看到以下是有关是否加签名的判断:
...
监控下一个进程的创建过程,关键函数的执行先后关系如下:
XP sp3下:
1.NtCreateProcessEx
2.NtCreateThread
3.CreateProcessNotify,调用创建进程回调函数,在PspCreateThread中调用
4.CreateThreadNotify,调用创建线程回调函数,在PspCreateThread中调用
Vista、Win7下:
1.NtCreateUserProcess->PspInsertThread
...前段时间看一个很早前写的驱动,发现对双向链表的操作还有BUG,删除时会蓝屏,修正了一下,把修正后的代码贴出来,方便日后使用前直接复制,大牛不用看了。
此演示完成user权限下以system权限运行指定程序,利用的是前几篇文章说的那个系统驱动的溢出漏洞。
利用成功后可看到Services.exe以system权限运行了C:\Users\test\Desktop\1.exe。
上次说的溢出0day的shellcode终于写完了,开始遇到了不少困难,但都一一解决了。
一开始,像大多数其它溢出那样,执行完shellcode后就sleep等死,可是这里不行,在进入有漏洞的函数前,系统占了一个锁,如果等死了,整个系统也立马卡死。函数调用是像下面这样的:
call func2()
{
getlocker();
bugfunc();//存在溢出的函数
...
