Windows内核（3）——手搓驱动加载器

Windows内核

ntoskrnl.exe杂记

驱动也是一个PE文件，类似于DLL，DriverEntry类似于DllMain

多了一个INIT节

用IDA打开一个驱动程序：

发现使用到的函数都是来自一个库，叫做ntoskrnl，

发现貌似是一个exe文件，我们用IDA打开看看

ntoskrnl.exe 是 Windows 操作系统的内核映像，简称为 NT Kernel (Windows NT Kernel Image)。它是 Windows 内核的核心部分，负责多种关键任务和系统服务

发现导出函数都在这个EXE的导出表里面

说明，逆向内核就相当于逆向这个exe程序

做一个驱动加载工具

目标：尝试做一个驱动加载工具

自行写一个驱动的安装，启动，关闭，卸载

PrintErrorMessage

这个函数能够自动根据错误码输出错误内容

void PrintErrorMessage(DWORD errorCode)
{
	LPVOID lpMsgBuf;

	FormatMessage(
		FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM | FORMAT_MESSAGE_IGNORE_INSERTS,
		NULL,
		errorCode,
		MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // 默认语言
		(LPTSTR)&lpMsgBuf,
		0,
		NULL
	);

	// 输出错误消息
	CString errorMsg;
	errorMsg.Format(L"Error code %d: %s", errorCode, (LPTSTR)lpMsgBuf);
	AfxMessageBox(errorMsg);

	// 释放缓冲区
	LocalFree(lpMsgBuf);
}

创建服务就是往注册表里面写东西

驱动随系统加载自动加载导致一开机就蓝屏，解决方法：

用安全模式进入系统，只加载一些基本的驱动，剩下的驱动一律不加载，这下就可以把蓝屏的驱动删掉了

MFC核心代码：

void CLoadDriverRing3Dlg::OnBnClickedButton1()
{
	// TODO: 在此添加控件通知处理程序代码
	UpdateData(TRUE);
	return;
}


BOOL CLoadDriverRing3Dlg::InstallDriver(LPCWSTR serviceName, LPCWSTR driverPath)
{
	SC_HANDLE hSCManager = NULL;
	SC_HANDLE hService = NULL;
	BOOL bSuccess = FALSE;

	// 打开服务控制管理器
	hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_CREATE_SERVICE);
	if (hSCManager == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		return FALSE;
	}

	// 创建服务
	hService = CreateService(
		hSCManager,              // 服务控制管理器句柄
		serviceName,             // 服务名称
		serviceName,             // 显示名称
		SERVICE_ALL_ACCESS,      // 所需访问权限
		SERVICE_KERNEL_DRIVER,   // 服务类型
		SERVICE_DEMAND_START,    // 启动类型
		SERVICE_ERROR_NORMAL,    // 错误控制类型
		driverPath,              // 服务二进制文件路径
		NULL,                    // 不属于任何负载排序组
		NULL,                    // 不需要标签标识
		NULL,                    // 没有依赖项
		NULL,                    // 使用 LocalSystem 帐户
		NULL                     // 没有密码
	);

	if (hService == NULL)
	{
		// 如果服务已经存在，获取句柄
		if (GetLastError() == ERROR_SERVICE_EXISTS)
		{
			hService = OpenService(hSCManager, serviceName, SERVICE_ALL_ACCESS);
			if (hService == NULL)
			{
				
				PrintErrorMessage(GetLastError());
				CloseServiceHandle(hSCManager);
				return FALSE;
			}
		}
		else
		{
			
			PrintErrorMessage(GetLastError());
			CloseServiceHandle(hSCManager);
			return FALSE;
		}
	}

	// 服务创建或打开成功
	AfxMessageBox(L"Service installed successfully!");
	bSuccess = TRUE;

	// 关闭句柄
	if (hService != NULL)
	{
		CloseServiceHandle(hService);
	}
	if (hSCManager != NULL)
	{
		CloseServiceHandle(hSCManager);
	}

	return bSuccess;
}


void CLoadDriverRing3Dlg::OnBnClickedButton2()
{
	// TODO: 在此添加控件通知处理程序代码
	
	InstallDriver(L"cr_2024_07_13", m_editBrowseCtrl);
	return;
}



BOOL CLoadDriverRing3Dlg::StartDriver(LPCWSTR serviceName)
{
	SC_HANDLE hSCManager = NULL;
	SC_HANDLE hService = NULL;
	BOOL bSuccess = FALSE;

	// 打开服务控制管理器
	hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (hSCManager == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		return FALSE;
	}

	// 打开服务
	hService = OpenService(hSCManager, serviceName, SERVICE_START | SERVICE_QUERY_STATUS);
	if (hService == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		CloseServiceHandle(hSCManager);
		return FALSE;
	}

	// 启动服务
	if (!StartService(hService, 0, NULL))
	{
		
		PrintErrorMessage(GetLastError());
	}
	else
	{
		AfxMessageBox(L"Service started successfully!");
		bSuccess = TRUE;
	}

	// 关闭句柄
	if (hService != NULL)
	{
		CloseServiceHandle(hService);
	}
	if (hSCManager != NULL)
	{
		CloseServiceHandle(hSCManager);
	}

	return bSuccess;
}





void CLoadDriverRing3Dlg::OnBnClickedButton3()	//开启
{
	// TODO: 在此添加控件通知处理程序代码
	StartDriver(L"cr_2024_07_13");
	return;
}



BOOL CLoadDriverRing3Dlg::StopDriver(LPCWSTR serviceName)
{
	SC_HANDLE hSCManager = NULL;
	SC_HANDLE hService = NULL;
	BOOL bSuccess = FALSE;
	SERVICE_STATUS serviceStatus;

	// 打开服务控制管理器
	hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (hSCManager == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		return FALSE;
	}

	// 打开服务
	hService = OpenService(hSCManager, serviceName, SERVICE_STOP | SERVICE_QUERY_STATUS);
	if (hService == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		CloseServiceHandle(hSCManager);
		return FALSE;
	}

	// 停止服务
	if (!ControlService(hService, SERVICE_CONTROL_STOP, &serviceStatus))
	{
		
		PrintErrorMessage(GetLastError());
	}
	else
	{
		AfxMessageBox(L"Service stopped successfully!");
		bSuccess = TRUE;
	}

	// 关闭句柄
	if (hService != NULL)
	{
		CloseServiceHandle(hService);
	}
	if (hSCManager != NULL)
	{
		CloseServiceHandle(hSCManager);
	}

	return bSuccess;
}

void CLoadDriverRing3Dlg::OnBnClickedButton4()  //停止
{
	// TODO: 在此添加控件通知处理程序代码
	StopDriver(L"cr_2024_07_13");
	return;
}


BOOL CLoadDriverRing3Dlg::UninstallDriver(LPCWSTR serviceName)
{
	SC_HANDLE hSCManager = NULL;
	SC_HANDLE hService = NULL;
	BOOL bSuccess = FALSE;

	// 打开服务控制管理器
	hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
	if (hSCManager == NULL)
	{
		
		PrintErrorMessage(GetLastError());
		return FALSE;
	}

	// 打开服务
	hService = OpenService(hSCManager, serviceName, DELETE);
	if (hService == NULL)
	{
	
		PrintErrorMessage(GetLastError());
		CloseServiceHandle(hSCManager);
		return FALSE;
	}

	// 删除服务
	if (!DeleteService(hService))
	{
		
		PrintErrorMessage(GetLastError());
	}
	else
	{
		AfxMessageBox(L"Service uninstalled successfully!");
		bSuccess = TRUE;
	}

	// 关闭句柄
	if (hService != NULL)
	{
		CloseServiceHandle(hService);
	}
	if (hSCManager != NULL)
	{
		CloseServiceHandle(hSCManager);
	}

	return bSuccess;
}


void CLoadDriverRing3Dlg::OnBnClickedButton5()
{
	// TODO: 在此添加控件通知处理程序代码
	UninstallDriver(L"cr_2024_07_13");
	return;
}

void CLoadDriverRing3Dlg::PrintErrorMessage(DWORD errorCode)
{
	LPVOID lpMsgBuf;

	FormatMessage(
		FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM | FORMAT_MESSAGE_IGNORE_INSERTS,
		NULL,
		errorCode,
		MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // 默认语言
		(LPTSTR)&lpMsgBuf,
		0,
		NULL
	);

	// 输出错误消息
	CString errorMsg;
	errorMsg.Format(L"Error code %d: %s", errorCode, (LPTSTR)lpMsgBuf);
	AfxMessageBox(errorMsg);

	// 释放缓冲区
	LocalFree(lpMsgBuf);
}

效果：

在服务的界面貌似找不到我们起的驱动服务，这是因为驱动是在0环运行，本地服务只能看到3环的。

所以用WinObj看：