通过特征码定位内核中的未导出函数(以PspTerminateProcess函数为例)

其实很简单，由于驱动本来就在0环跑，所以不用担心权限不够，直接拿着函数的一堆特征码到内存中1字节1字节的比对就行，这里是以定位并调用未导出函数 PspTerminateProcess 为例：

#include <ntifs.h>

NTSTATUS PsLookupProcessByProcessId(IN HANDLE ProcessId,OUT PEPROCESS *Process);

VOID DriverUnload(PDRIVER_OBJECT pDriverObject) {
    DbgPrint("已卸载！
");
}

PVOID GetUndocumentFunctionAddress(PUCHAR pStartAddress,PUCHAR pShellcode)
{
    int index = 0;
    int maxSize = 0x30000;

    if(!MmIsAddressValid(pStartAddress))
    {
        DbgPrint("地址不合法，或者地址指向内存不可读！
");
        return NULL;
    }

    DbgPrint("地址合法，开始查找...
");
    PUCHAR tmp = pStartAddress;

    for(index=0;index<maxSize;index++)
    {
        tmp = pStartAddress + index;
        for(int x=0;x<=17;x++)
        {
            if(tmp[x] == pShellcode[x])
            {
                if(x == 17)
                {
                    return tmp;
                }
                continue;
            }
            else
                break;
        }
    }

    DbgPrint("查找结束，最后查找的起始地址为：%x
",tmp);
    return NULL;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath) {

    DbgPrint("启动！
");
    pDriverObject->DriverUnload = DriverUnload;

    UCHAR shellcode[19] = "x8bxffx55x8bxecx56x64xa1x24x01x00x00x8bx75x08x3bx70x44";

    PVOID p = GetUndocumentFunctionAddress((PUCHAR)0x805c0000,shellcode);

    if(p != NULL)
    {
        DbgPrint("成功找到函数首地址：%x
",p);
        DbgPrint("开始尝试调用函数...
");
        /****** 调用PspTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus)函数 ******/
        PEPROCESS hProcess;
        PsLookupProcessByProcessId((HANDLE)424,&hProcess);
        _asm{
            push 0;
            push hProcess;
            call p;
        }
        /****** 调用PspTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus)函数 ******/
        DbgPrint("函数调用结束.
");
    }
    else
        DbgPrint("查找失败！
");

    return STATUS_SUCCESS;
}

有一点需要注意，由于进程PID是硬编码进去的，所以测试的流程为：

　　(1) 在系统中运行任意程序，并通过任务管理器查看PID

　　(2) 把代码中的 PID 改成你自己在任务管理器中看到的

　　(3) 编译驱动，并扔到测试机中跑