映射驱动的方式有很多,利用漏洞驱动程序来映射,自己编写驱动程序来映射驱动程序,今天教学一种特别简单的映射方式-自映射驱动(我自己瞎起名的)
原理很简单,就是自己映射自己,在系统加载一个映像后,系统会自己修复重定位表,导入表等一些pe结构,
既然系统已经修复好了那么就可以利用这个机制直接映射,大致步骤如下:
1.申请存放驱动程序的非分页内存
2.计算需要的相关函数地址偏移
3.使用IoCreateDriver函数创建一个驱动对象,并使驱动入口位于申请的内存中
4.卸载掉驱动
这个步骤可能看上去太简洁了,详细注释我已经写在源码里面了,如果你看懂了我前几个帖子的内容,应该会一下子
就知道自映射驱动的原理了。稍微要注意的是要清除DO_DEVICE_INITIALIZING标志位,因为我们的驱动对象和派遣函数全部位于非分页内存中。
加载驱动后立即卸载驱动:
测试派遣函数是正常通讯的:
部分代码截图:
