LyShark

摘要： LibCurl是一个开源的免费的多协议数据传输开源库，该框架具备跨平台性，开源免费，并提供了包括HTTP、FTP、SMTP、POP3等协议的功能，使用libcurl可以方便地进行网络数据传输操作，如发送HTTP请求、下载文件、发送电子邮件等。它被广泛应用于各种网络应用开发中，特别是涉及到数据传输的场景。本章将是`《C++ LibCurl 库的使用方法》`的扩展篇，在前一篇文章中我们简单实现了LibCurl对特定页面的访问功能，本文将继续扩展该功能，并以此实现Web隐藏目录扫描功能。 阅读全文

摘要： 端口扫描是一种用于识别目标系统上哪些网络端口处于开放、关闭或监听状态的网络活动。在计算机网络中，端口是一个虚拟的通信端点，用于在计算机之间传输数据。每个端口都关联着特定类型的网络服务或应用程序。端口扫描通常是网络管理员、安全专业人员或黑客用来评估网络安全的一种方法。通过扫描目标系统的端口，可以了解系统上哪些服务在运行、哪些端口是开放的，从而评估系统的安全性。 阅读全文

摘要： 监视对指定目录的更改，并将有关更改的信息打印到控制台，该功能的实现不仅可以在内核层，在应用层同样可以。程序中使用`ReadDirectoryChangesW`函数来监视目录中的更改，并使用`FILE_NOTIFY_INFORMATION`结构来获取有关更改的信息。ReadDirectoryChangesW 是`Windows`操作系统提供的一个函数，用于监视目录的变化。它属于`Windows API`的一部分，主要用于监视文件系统中目录的修改、新增、删除等变化，并通过回调函数向应用程序提供通知。 阅读全文

摘要： 11.9.1 遍历磁盘容量 如下代码实现了在Windows系统中获取所有磁盘驱动器的信息。具体包括两个函数，一个用于获取驱动器类型，另一个用于获取驱动器空间信息。主函数则调用这两个函数来遍历所有逻辑驱动器并输出相应的信息。在输出驱动器空间信息时，会输出该驱动器的总大小、已用空间以及可用空间。 #in 阅读全文

摘要： 11.8.1 切割文件名与路径 如下代码是一段文件路径切割实现，通过传入文件路径，获取文件名和文件路径的功能。具体实现包括两个函数：GetFileName和GetFilePath。前者接收一个文件路径字符串，并返回该文件路径中的文件名；后者接收一个文件路径字符串，并返回该文件路径中除文件名以外的部分 阅读全文

摘要： 注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。在Windows内核中，注册表是一种存储系统配置信息的机制，包括应用程序、硬件、驱动程序和操作系统的各种设置。内核提供了一些API函数，可以让驱动程序通过代码访问和修改注册表，以实现系统的配置和管理。下面简单介绍一下内核中的注册表增删改查操作： 阅读全文

摘要： 在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可，而如果在内核中读写文件则应用层的API显然是无法被使用的，内核层需要使用内核专有API，某些应用层下的API只需要增加Zw开头即可在内核中使用，例如本章要讲解的文件与目录操作相关函数，多数ARK反内核工具都具有对文件的管理功能，实现对文件或目录的基本操作功能也是非常有必要的。 阅读全文

摘要： 在编程中，针对磁盘与目录的操作也是非常重要的，本章将重点介绍如何实现针对文件目录与磁盘的操作方法，其中包括了删除文件，文件拷贝，文件读写，目录遍历输出，遍历磁盘容量信息，磁盘格式化，输出分区表数据，监控目录变化等。 阅读全文

摘要： MAC地址（Media Access Control address），又称为物理地址或硬件地址，是网络适配器（网卡）在制造时被分配的全球唯一的48位地址。这个地址是数据链路层（OSI模型的第二层）的一部分，用于在局域网（LAN）中唯一标识网络设备。获取网卡地址主要用于网络标识和身份验证的目的。MAC地址是一个唯一的硬件地址，通常由网卡的制造商在制造过程中分配。通过获取MAC地址可以判断当前主机的唯一性可以与IP地址绑定并实现网络准入控制。在Windows平台下获取MAC地址的方式有很多，获取MAC地址的常见方式包括使用操作系统提供的网络API（如Windows的GetAdaptersAddresses和GetAdaptersInfo），NetBIOS API，系统命令（如ipconfig /all），ARP缓存表查询，第三方库（如WinPcap或Libpcap），以及在编程语言中使用网络库。 阅读全文

摘要： Windows Management Instrumentation（WMI）是一种用于管理和监视`Windows`操作系统的框架。它为开发人员、系统管理员和自动化工具提供了一种标准的接口，通过这个接口，可以获取有关计算机系统硬件、操作系统和应用程序的信息，以及对系统进行管理和控制的能力。WQL 的语法类似于 SQL（Structured Query Language），使用WQL可以执行各种查询来检索关于计算机系统、硬件、软件和其他管理信息的数据。这些查询可以用于编写脚本、管理任务、监视性能等。为了方便查询获取参数这里提供一个简单的查询工具供大家查询使用，下载后打开，其默认查询的是`Win32_ComputerSystem`也就是系统的基本参数信息； 阅读全文

摘要： 在上一篇文章`《内核中实现Dump进程转储》`中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍`VAD`结构，该结构的全程是`Virtual Address Descriptor`即`虚拟地址描述符`，VAD是一个`AVL`自`平衡二叉树`，树的每一个节点代表一段虚拟地址空间。程序中的代码段，数据段，堆段都会各种占用一个或多个`VAD`节点，由一个`MMVAD`结构完整描述。 阅读全文

摘要： 多数ARK反内核工具中都存在驱动级别的内存转存功能，该功能可以将应用层中运行进程的内存镜像转存到特定目录下，内存转存功能在应对加壳程序的分析尤为重要，当进程在内存中解码后，我们可以很容易的将内存镜像导出，从而更好的对样本进行分析，当然某些加密壳可能无效但绝大多数情况下是可以被转存的。 阅读全文

摘要： 当你需要在Windows操作系统中监控进程的启动和退出时，可以使用`PsSetCreateProcessNotifyRoutineEx`函数来创建一个`MyCreateProcessNotifyEx`回调函数，该回调函数将在每个进程的创建和退出时被调用。 阅读全文

摘要： 在内核中，可以使用`ObRegisterCallbacks`这个内核回调函数来实现监控进程和线程对象操作。通过注册一个`OB_CALLBACK_REGISTRATION`回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个`Altitude`字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。当有进程或线程对象创建、删除、复制或重命名时，内核会调用注册的回调函数。回调函数可以访问被监控对象的信息，如句柄、进程ID等，并可以采取相应的操作，如打印日志、记录信息等。 阅读全文

摘要： 内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分，用于管理系统资源和处理系统请求。在驱动安全开发中，理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符（PID），它用于在系统中唯一地标识该进程。在内核中，进程被表示为一个进程控制块（PCB），它包含有关进程的信息，如进程状态、优先级、内存使用情况等。枚举进程可以让我们获取当前系统中所有正在运行的进程的PID和其他有用的信息，以便我们可以监视和管理系统中的进程。 阅读全文

摘要： 在内核开发中，经常需要进行进程和句柄之间的互相转换。进程通常由一个唯一的进程标识符（PID）来标识，而句柄是指对内核对象的引用。在Windows内核中，`EProcess`结构表示一个进程，而HANDLE是一个句柄。为了实现进程与句柄之间的转换，我们需要使用一些内核函数。对于进程PID和句柄的互相转换，可以使用函数如`OpenProcess`和`GetProcessId`。OpenProcess函数接受一个PID作为参数，并返回一个句柄。GetProcessId函数接受一个句柄作为参数，并返回该进程的PID。对于进程PID和`EProcess`结构的互相转换，可以使用函数如`PsGetProcessId`和`PsGetCurrentProcess`。PsGetProcessId函数接受一个`EProcess`结构作为参数，并返回该进程的PID。`PsGetCurrentProcess`函数返回当前进程的`EProcess`结构。 阅读全文

摘要： 在笔者上一篇文章`《内核MDL读写进程内存》`简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用`capstone`引擎实现这个功能。 阅读全文

摘要： 获取硬盘的序列号、型号和固件版本号，此类功能通常用于做硬盘绑定或硬件验证操作，通过使用Windows API的DeviceIoControl函数与物理硬盘驱动程序进行通信，发送ATA命令来获取硬盘的信息。 阅读全文

摘要： 在上一篇博文`《内核通过PEB得到进程参数》`中我们通过使用`KeStackAttachProcess`附加进程的方式得到了该进程的PEB结构信息，本篇文章同样需要使用进程附加功能，但这次我们将实现一个更加有趣的功能，在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离，此类功能的实现依附于MDL内存映射机制实现。 阅读全文

摘要： MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中，每个进程都有自己独立的虚拟地址空间，不同进程之间的内存空间是隔离的。因此，要在一个进程中读取或写入另一个进程的内存数据，需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中，然后才能进行内存读写操作。 阅读全文

摘要： 在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了`ZwAllocateVirtualMemory`这个函数用于专门分配虚拟空间，而与之相对应的则是`ZwFreeVirtualMemory`此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来`LyShark`将从API开始介绍如何运用这两个函数实现内存分配与使用，并以此来作为驱动读写篇的入门知识。 阅读全文

摘要： 本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异，本章将简单介绍`IO/DPC`这两种定时器的使用技巧。 阅读全文

摘要： 在Windows内核中，每个设备驱动程序都需要一个`DRIVER_OBJECT`对象，该对象由系统创建并传递给驱动程序的`DriverEntry`函数。驱动程序使用此对象来注册与设备对象和其他系统对象的交互，并在操作系统需要与驱动程序进行交互时使用此对象。`DRIVER_OBJECT`对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构，以及用于处理`I/O`请求的函数指针等信息。它是驱动程序与操作系统内核之间的桥梁，用于协调设备的操作和管理。 阅读全文

摘要： 在上一篇文章`《内核字符串转换方法》`中简单介绍了内核是如何使用字符串以及字符串之间的转换方法，本章将继续探索字符串的拷贝与比较，与应用层不同内核字符串拷贝与比较也需要使用内核专用的API函数，字符串的拷贝往往伴随有内核内存分配，我们将首先简单介绍内核如何分配堆空间，然后再以此为契机简介字符串的拷贝与比较。 阅读全文

摘要： 在内核编程中字符串有两种格式`ANSI_STRING`与`UNICODE_STRING`，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下`ANSI_STRING`代表的类型是`char *`也就是`ANSI`多字节模式的字符串，而`UNICODE_STRING`则代表的是`wchar*`也就是`UNCODE`类型的字符，如下文章将介绍这两种字符格式在内核中是如何转换的。 阅读全文