LYSHARK

摘要： 在内核中，可以使用`ObRegisterCallbacks`这个内核回调函数来实现监控进程和线程对象操作。通过注册一个`OB_CALLBACK_REGISTRATION`回调结构体，可以指定所需的回调函数和回调的监控类型。这个回调结构体包含了回调函数和监控的对象类型，还有一个`Altitude`字段，用于指定回调函数的优先级。优先级越高的回调函数会先被调用，如果某个回调函数返回了一个非NULL值，后续的回调函数就不会被调用。当有进程或线程对象创建、删除、复制或重命名时，内核会调用注册的回调函数。回调函数可以访问被监控对象的信息，如句柄、进程ID等，并可以采取相应的操作，如打印日志、记录信息等。 阅读全文

摘要： 内核进程线程和模块是操作系统内核中非常重要的概念。它们是操作系统的核心部分，用于管理系统资源和处理系统请求。在驱动安全开发中，理解内核进程线程和模块的概念对于编写安全的内核驱动程序至关重要。内核进程是在操作系统内核中运行的程序。每个进程都有一个唯一的进程标识符（PID），它用于在系统中唯一地标识该进程。在内核中，进程被表示为一个进程控制块（PCB），它包含有关进程的信息，如进程状态、优先级、内存使用情况等。枚举进程可以让我们获取当前系统中所有正在运行的进程的PID和其他有用的信息，以便我们可以监视和管理系统中的进程。 阅读全文

摘要： 在内核开发中，经常需要进行进程和句柄之间的互相转换。进程通常由一个唯一的进程标识符（PID）来标识，而句柄是指对内核对象的引用。在Windows内核中，`EProcess`结构表示一个进程，而HANDLE是一个句柄。为了实现进程与句柄之间的转换，我们需要使用一些内核函数。对于进程PID和句柄的互相转换，可以使用函数如`OpenProcess`和`GetProcessId`。OpenProcess函数接受一个PID作为参数，并返回一个句柄。GetProcessId函数接受一个句柄作为参数，并返回该进程的PID。对于进程PID和`EProcess`结构的互相转换，可以使用函数如`PsGetProcessId`和`PsGetCurrentProcess`。PsGetProcessId函数接受一个`EProcess`结构作为参数，并返回该进程的PID。`PsGetCurrentProcess`函数返回当前进程的`EProcess`结构。 阅读全文

摘要： 在笔者上一篇文章`《内核MDL读写进程内存》`简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用`capstone`引擎实现这个功能。 阅读全文

摘要： 获取硬盘的序列号、型号和固件版本号，此类功能通常用于做硬盘绑定或硬件验证操作，通过使用Windows API的DeviceIoControl函数与物理硬盘驱动程序进行通信，发送ATA命令来获取硬盘的信息。 阅读全文

摘要： 在上一篇博文`《内核通过PEB得到进程参数》`中我们通过使用`KeStackAttachProcess`附加进程的方式得到了该进程的PEB结构信息，本篇文章同样需要使用进程附加功能，但这次我们将实现一个更加有趣的功能，在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离，此类功能的实现依附于MDL内存映射机制实现。 阅读全文

摘要： MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中，每个进程都有自己独立的虚拟地址空间，不同进程之间的内存空间是隔离的。因此，要在一个进程中读取或写入另一个进程的内存数据，需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中，然后才能进行内存读写操作。 阅读全文

摘要： 在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了`ZwAllocateVirtualMemory`这个函数用于专门分配虚拟空间，而与之相对应的则是`ZwFreeVirtualMemory`此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来`LyShark`将从API开始介绍如何运用这两个函数实现内存分配与使用，并以此来作为驱动读写篇的入门知识。 阅读全文

摘要： 本章将继续探索驱动开发中的基础部分，定时器在内核中同样很常用，在内核中定时器可以使用两种，即IO定时器，以及DPC定时器，一般来说IO定时器是DDK中提供的一种，该定时器可以为间隔为N秒做定时，但如果要实现毫秒级别间隔，微秒级别间隔，就需要用到DPC定时器，如果是秒级定时其两者基本上无任何差异，本章将简单介绍`IO/DPC`这两种定时器的使用技巧。 阅读全文

摘要： 在Windows内核中，每个设备驱动程序都需要一个`DRIVER_OBJECT`对象，该对象由系统创建并传递给驱动程序的`DriverEntry`函数。驱动程序使用此对象来注册与设备对象和其他系统对象的交互，并在操作系统需要与驱动程序进行交互时使用此对象。`DRIVER_OBJECT`对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构，以及用于处理`I/O`请求的函数指针等信息。它是驱动程序与操作系统内核之间的桥梁，用于协调设备的操作和管理。 阅读全文

摘要： 在上一篇文章`《内核字符串转换方法》`中简单介绍了内核是如何使用字符串以及字符串之间的转换方法，本章将继续探索字符串的拷贝与比较，与应用层不同内核字符串拷贝与比较也需要使用内核专用的API函数，字符串的拷贝往往伴随有内核内存分配，我们将首先简单介绍内核如何分配堆空间，然后再以此为契机简介字符串的拷贝与比较。 阅读全文

摘要： 在内核编程中字符串有两种格式`ANSI_STRING`与`UNICODE_STRING`，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下`ANSI_STRING`代表的类型是`char *`也就是`ANSI`多字节模式的字符串，而`UNICODE_STRING`则代表的是`wchar*`也就是`UNCODE`类型的字符，如下文章将介绍这两种字符格式在内核中是如何转换的。 阅读全文

摘要： 提到自旋锁那就必须要说链表，在上一篇`《内核中的链表与结构体》`文章中简单实用链表结构来存储进程信息列表，相信读者应该已经理解了内核链表的基本使用，本篇文章将讲解自旋锁的简单应用，自旋锁是为了解决内核链表读写时存在线程同步问题，解决多线程同步问题必须要用锁，通常使用自旋锁，自旋锁是内核中提供的一种高IRQL锁，用同步以及独占的方式访问某个资源。 阅读全文

摘要： 在`Windows`内核中，为了实现高效的数据结构操作，通常会使用链表和结构体相结合的方式进行数据存储和操作。内核提供了一个专门用于链表操作的数据结构`LIST_ENTRY`，可以用来描述一个链表中的每一个节点。使用链表来存储结构体时，需要在结构体中嵌入一个`LIST_ENTRY`类型的成员变量，用来连接相邻的节点。通过一些列链表操作函数，如`InitializeListHead、InsertHeadList、InsertTailList、RemoveEntryList`等，可以对链表中的结构体进行插入、删除、遍历等操作。 阅读全文

摘要： 本关我们将学习共享代码，在C语言中角色属性都是以结构体的方式进行存储的，而结构体所存储的信息都是连续性的，这一关我们将会解释如何处理游戏中的共用代码，这种代码是通用在除了自己以外的其他同类型对像上的常常你在修改游戏的时候，你找到了一个单位的健康值或是你自己角色的生命值，你会发现一种情况，如果你把生命值相关代码移除的话，其结果是你的角色无敌，但你的敌人也无敌了，这就是共享代码的问题。 阅读全文

摘要： 在本步骤中，你需要使用多级指针的概念来查找健康值真正的地址并修改它。多级指针就是一个指针的指针，也就是第一个指针指向第二个指针，第二个指针指向第三个指针，以此类推，最终指向你想要访问的地址。首先，你需要按照跟第 6 步类似的方式找到健康值的地址，并分析汇编代码以查找指向健康值地址的指针。然后，你需要找到指向这个指针的指针，并按照同样的方式分析汇编指令和偏移量，找出下一个指向指针的指针。继续这个过程，直到无法进一步查找，通常是当你找到一个静态基址时，地址将以绿色标示。 阅读全文

摘要： 从本关开始，各位会初步接触到CE的反汇编功能，这也是CE最强大的功能之一。在第6关的时候我们说到指针的找法，用基址定位动态地址。但这一关不用指针也可以进行修改，即使对方是动态地址，且功能更加强大。代码注入是将一小段你写出的代码注入到目标进程中并执行它的技巧。在这一步教程中，你将有一个健康值和一个每按一次将减少 1 点健康值的按钮，你的任务是利用"代码注入"，使每按一次按钮增加2点的健康值。 阅读全文

摘要： 上一步阐述了如何使用代码替换功能对付变化位置的数据地址，但这种方法往往不能达到预期的效果，所以我们需要学习如何利用指针，在本关的`Tutorial.exe`窗口下面有两个按钮，一个会改变数值，另一个不但能改变数值而且还会改变数值在内存中存储的位置。接下来我们将找到内存中的基址，为什么要找指针，在前面的教程中，如果各位细心观察的话就会发现 在笔者截图中的出现地址和你的地址并不相同。也就是说，这些地址是一直在变化的，我们把它叫做动态地址，我们必须寻找到该动态地址的基址，并以此来保证唯一性。 阅读全文

摘要： 代码替换功能，需要使用 Cheat Engine 工具的“代码查找”功能，来查找游戏数据存储在内存中的地址。首先找到当前数值的存储地址，并将其添加到下方地址列表中。然后右键单击该地址，并选择“找出是什么改写了这个地址”，将弹出一个空白窗口。接着，点击本教程窗口上的“改变数值”按钮，并返回 Cheat Engine，如果操作没有问题，在空白窗口中将出现一些汇编代码。选中代码并点击“替换”按钮，将其替换为什么也不做的代码（空指令），同时，修改后的代码也将放置在“高级选项”的代码列表中保存。点击“停止”，游戏将以正常方式继续运行，关闭窗口。现在，再次点击教程窗口上的“改变数值”，如果锁定速度足够快，“下一步”按钮将变为可点击状态。提示：在锁定地址时，如果速度足够快，“下一步”按钮也会变为可点击状态。 阅读全文

摘要： IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构，并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性，许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程，以提高效率和准确性。 阅读全文

摘要： 本关需要使用 Cheat Engine 工具对浮点数进行扫描，完成修改任务。浮点数是一种带有小数点的数值，通过“浮点数”扫描方式进行修改。本关中，健康值为单精度浮点数，弹药值为双精度浮点数，需要将这两项数值都修改为 5000 或更高。提示建议禁用“快速扫描”功能，以获取更准确的扫描结果。 阅读全文

摘要： 本关需要扫描未知数只扫描，要在不知道初始值的情况下找到一个在0到500之间的数值。首先，选择“未知的初始值”扫描方式，在数值类型中选择 4 字节，并点击“首次扫描”以开始扫描。扫描结束后，点击“打我”按钮进行一些操作，回到 Cheat Engine，选择“减少的数值”作为扫描类型，点击“再次扫描”并重复操作直到检索出很少的几个地址。由于该数值在0到500之间，可以挑出最为相似地址，并将其加入到下方的地址列表。接着，将健康值更改为 5000 以便进入下一关。需要记住的重点是，在开始新的扫描之前，务必要先点击“新的扫描”按钮。 阅读全文

摘要： 本关是CE修改器的第一关，用户需要通过 `Cheat Engine` 工具完成精确扫描值。在这个练习中，需要将一个特定的数值（健康值）改变为 1000。首先，要确保数值类型设置正确，默认的是2字节或4字节。接着，选择“精确数值”扫描类型，将健康值填入数值输入框中，点击“首次扫描”。在扫描结果中，如果出现多个地址，可以继续点击打我按钮并输入变更后的健康值来进行“再次扫描”，确定正确的地址。双击左侧列表中的地址可以将其移动到下方的地址列表中并显示其当前值。接着，双击下方地址列表中的数值（或者选择它，按下回车），填写你要修改的数值1000。如果操作正确，"下一步"按钮将变成可点击的状态，本关就算完成了。如果出现错误，可以点击“新的扫描”重新开始扫描，或者点击“打我”查找更多的线索。 阅读全文

摘要： Cheat Engine 一般简称为CE，它是一款功能强大的开源内存修改工具，其主要功能包括、内存扫描、十六进制编辑器、动态调试功能于一体，且该工具自身附带了脚本工具，可以用它很方便的生成自己的脚本窗体，CE工具可以帮助用户修改游戏或者软件中的内存数据，以获得一些其他的功能，CE可以说是目前最优秀的进程内存修改器，但需要注意的是，它的使用可能会涉及到非法或者违反游戏规则的行为，建议读者在使用 `Cheat Engine` 时要注意自己的行为是否符合相关法律和道德规范。 阅读全文

摘要： IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构，并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性，许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程，以提高效率和准确性。 阅读全文