怼DNF驱动保护-读写代码

[复制链接]
驱动过保护
woaidaima2016

该用户从未签到

2380

主题

2433

帖子

9139

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
9139
QQ
跳转到指定楼层
楼主
发表于 2022-4-7 15:40:11 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

想要查看内容赶紧注册登陆吧!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  1. SIZE_T dxf_pml4_entry = 0;
  2. SIZE_T pml4_table[512] = { 0 };

  4. VOID ProcessCallBack(
  5.         IN HANDLE hParentId,
  6.         IN HANDLE hProcessId,
  7.         IN BOOLEAN bCreate)
  8. {
  9.         if (bCreate)
  10.         {
  11.                 //为true表示创建进程
  12.                 PEPROCESS EProcess = NULL;
  13.                 if (NT_SUCCESS(PsLookupProcessByProcessId(hProcessId, &EProcess)))
  14.                 {
  15.                         auto ImageName = ddk::Nt_Util::GetProcessFullName(EProcess);
  16.                         std::transform(ImageName.begin(), ImageName.end(), ImageName.begin(), towlower);

  18.                         if (ImageName.find(XOR_STRING_W(L"dnf.exe")) != std::wstring::npos)
  19.                         {
  20.                                 LOG_DEBUG("%S\r\n", ImageName.c_str());

  22.                                 SIZE_T pml4_entry = *reinterpret_cast<SIZE_T*>(reinterpret_cast<SIZE_T>(EProcess) + GetDirectoryTableBase());
  23.                                 dxf_pml4_entry = pml4_entry;
  24.                                 PHYSICAL_ADDRESS pml4 = { 0ull };
  25.                                 pml4.QuadPart = pml4_entry;
  26.                                 //映射整个pml4表
  27.                                 PVOID pml4_map_table = MmMapIoSpace(pml4, PAGE_SIZE, MmNonCached);  //改成进程挂靠
  28.                                 //保存到一个页面中
  29.                                 memcpy(pml4_table, pml4_map_table, PAGE_SIZE);
  30.                                 MmUnmapIoSpace(pml4_map_table, 0x1000);
  31.                         }
  32.                 }
  33.         }
  34. }

  36. //PML4T(Page Map Level4 Table)及表内的PML4E结构,每个表为4K,内含512个PML4E结构,每个8字节

  38. //打印一个虚拟地址每级页表对应的值
  39. NTSTATUS GetMemoryPageValue(SIZE_T virtual_address, SIZE_T DirectoryTableBase)
  40. {
  41.         LOG_DEBUG("Memory: pml4 Entry : %llx", DirectoryTableBase);

  43.         ddk::Nt_MemUtil::VIR_ADDRESS* xxxx = (ddk::Nt_MemUtil::VIR_ADDRESS*)virtual_address;

  45.         //UINT32 pml4_index = (virtual_address & ((SIZE_T)0x1ff << 39)) >> 39;   //参考VIR_ADDRESS
  46.         UINT32 pml4_index = xxxx->PML4_Index;
  47.         LOG_DEBUG("Memory: pml4 index : %lx", pml4_index);

  49.         
  50.         PHYSICAL_ADDRESS pml4 = { 0ull };
  51.         pml4.QuadPart = DirectoryTableBase + pml4_index * 0x8;    //UtilpAddressToPxe

  53.         //也可以直接用系统映射的虚拟地址PTE
  54.         PVOID pml4_map_address = MmMapIoSpace(pml4, sizeof(SIZE_T), MmNonCached);

  56.         LOG_DEBUG("Memory: pml4 map virtual_address : %llx", pml4_map_address);

  58.         if (!pml4_map_address)
  59.         {
  60.                 return STATUS_MEMORY_NOT_ALLOCATED;
  61.         }

  63.         SIZE_T pml4_value = *reinterpret_cast<SIZE_T*>(pml4_map_address);
  64.         LOG_DEBUG(0, 0, "Memory: pml4 value : %llx", pml4_value);
  65.         MmUnmapIoSpace(pml4_map_address, sizeof(SIZE_T));


  68.         SIZE_T pdpt_entry = pml4_value & ((SIZE_T)0xfffffff << 12);  //UtilpAddressToPte


  71.         LOG_DEBUG("Memory: pdpt Entry : %llx", pdpt_entry);

  73.         //UINT32 pdpt_index = (virtual_address & ((SIZE_T)0x1ff << 30)) >> 30;   //PDPT_Index
  74.         UINT32 pdpt_index = xxxx->PDPT_Index;


  77.         LOG_DEBUG("Memory: pdpt index : %lx", pdpt_index);

  79.         PHYSICAL_ADDRESS pdpt = { 0ull };
  80.         pdpt.QuadPart = pdpt_entry + pdpt_index * 0x8;
  81.         PVOID pdpt_map_address = MmMapIoSpace(pdpt, sizeof(SIZE_T), MmNonCached);

  83.         LOG_DEBUG("Memory: pdpt map virtual_address : %llx", pdpt_map_address);
  84.         if (!pdpt_map_address) {
  85.                 return STATUS_MEMORY_NOT_ALLOCATED;
  86.         }

  88.         SIZE_T pdpt_value = *reinterpret_cast<SIZE_T*>(pdpt_map_address);
  89.         LOG_DEBUG("Memory: pdpt value : %llx", pdpt_value);

  91.         MmUnmapIoSpace(pdpt_map_address, sizeof(SIZE_T));


  94.         SIZE_T pd_entry = pdpt_value & ((SIZE_T)0xfffffff << 12);   //UtilpAddressToPde

  96.         LOG_DEBUG("Memory: pd Entry : %llx", pd_entry);

  98.         UINT32 pd_index = (virtual_address & ((SIZE_T)0x1ff << 21)) >> 21;    //PD_Index
  99.         LOG_DEBUG("Memory: pd index : %lx", pd_index);


  102.         PHYSICAL_ADDRESS pd = { 0ull };
  103.         pd.QuadPart = pd_entry + pd_index * 0x8;

  105.         PVOID pd_map_address = MmMapIoSpace(pd, sizeof(SIZE_T), MmNonCached);
  106.         LOG_DEBUG("Memory: pd map virtual_address : %llx", pd_map_address);
  107.         if (!pd_map_address)
  108.         {
  109.                 return STATUS_MEMORY_NOT_ALLOCATED;
  110.         }
  111.         SIZE_T pd_value = *reinterpret_cast<SIZE_T*>(pd_map_address);
  112.         LOG_DEBUG("Memory: pd value : %llx", pd_value);
  113.         MmUnmapIoSpace(pd_map_address, sizeof(SIZE_T));


  116.         SIZE_T pt_entry = pd_value & ((SIZE_T)0xfffffff << 12);   
  117.         LOG_DEBUG("Memory: pt Entry : %llx", pt_entry);
  118.         //UINT32 pt_index = (virtual_address & ((SIZE_T)0x1ff << 12)) >> 12;  //PT_Index
  119.         UINT32 pt_index = xxxx->PT_Index;
  120.         LOG_DEBUG("Memory: pt index : %lx", pt_index);


  123.         PHYSICAL_ADDRESS pt = { 0ull };
  124.         pt.QuadPart = pt_entry + pt_index * 0x8;
  125.         PVOID pt_map_address = MmMapIoSpace(pt, sizeof(SIZE_T), MmNonCached);
  126.         LOG_DEBUG("Memory: pt map virtual_address : %llx", pt_map_address);
  127.         if (!pt_map_address) {
  128.                 return STATUS_MEMORY_NOT_ALLOCATED;
  129.         }
  130.         SIZE_T pt_value = *reinterpret_cast<SIZE_T*>(pt_map_address);
  131.         LOG_DEBUG("Memory: pt value : %llx", pt_value);
  132.         MmUnmapIoSpace(pt_map_address, sizeof(SIZE_T));


  135.         SIZE_T phsical_address = pt_value & ((SIZE_T)0xfffffff << 12);   //PageOffset
  136.         LOG_DEBUG("Memory: phsical_address : %llx", phsical_address);
  137.         //SIZE_T pt_value = *reinterpret_cast<SIZE_T*>(pt_map_address);
  138.         return STATUS_SUCCESS;
  139. }

  141. VOID FuckDxf()
  142. {
  143.         //进程回调
  144.         PsSetCreateProcessNotifyRoutine(ProcessCallBack, FALSE);   //第一个参数是回调函数地址,第二个是启动进程监控
  145. }

  147. VOID UnFuckDxf()
  148. {
  149.         PsSetCreateProcessNotifyRoutine(ProcessCallBack, TRUE);
  150. }
复制代码


分享到:  QQ好友和群QQ好友和群
收藏收藏
回复

使用道具 举报

858968850

该用户从未签到

0

主题

47

帖子

47

积分

内核VIP会员

Rank: 3Rank: 3

积分
47
沙发
发表于 2022-5-10 19:48:52 | 只看该作者
啦看看  老师
回复 支持 反对

使用道具 举报

2776874329

该用户从未签到

0

主题

5

帖子

5

积分

邀请会员

积分
5
板凳
发表于 2022-5-11 18:55:04 | 只看该作者
我爱代码论坛这是个好地方!
回复 支持 反对

使用道具 举报

365212034

该用户从未签到

0

主题

24

帖子

26

积分

内核VIP会员

Rank: 3Rank: 3

积分
26
地板
发表于 2022-8-20 23:46:17 | 只看该作者
546
回复

使用道具 举报

sfz0316

该用户从未签到

0

主题

4

帖子

4

积分

邀请会员

积分
4
5#
发表于 2022-12-2 20:47:19 | 只看该作者
为什么这么牛逼
回复 支持 反对

使用道具 举报

快速回复高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表