BYOVD技术详解与实战指南<\/h1>

1. BYOVD技术概述<\/h2>

BYOVD (Bring Your Own Vulnerable Driver) 是一种利用带有合法签名的漏洞驱动程序来执行内核级操作的技术。其核心思想是：<\/p>

利用已签名的驱动程序中的漏洞<\/li>
通过这些漏洞获得内核级权限<\/li>

执行恶意操作而不触发驱动程序签名验证<\/li> <\/ul>

2. 驱动通信基础<\/h2>

2.1 驱动通信机制<\/h3>

Windows驱动通信基于设备对象(_DEVICE_OBJECT<\/code>)和IRP(_IRP<\/code>)：<\/p>


派遣函数(MajorFunction)<\/strong>：驱动对象中的回调函数数组，处理不同类型的IRP请求

IRP_MJ_CREATE<\/code>：处理设备打开请求<\/li>
IRP_MJ_CLOSE<\/code>：处理设备关闭请求<\/li>
IRP_MJ_DEVICE_CONTROL<\/code>：处理IO控制代码(IOCTL)请求<\/li>
<\/ul>
<\/li>
<\/ol>
2.2 设备对象创建<\/h3>
使用IoCreateDevice<\/code>函数创建设备对象：<\/p>
NTSTATUS IoCreateDevice<\/span>(
<\/span><\/span>  PDRIVER_OBJECT  DriverObject,
<\/span><\/span>  ULONG           DeviceExtensionSize,
<\/span><\/span>  PUNICODE_STRING DeviceName,
<\/span><\/span>  DEVICE_TYPE     DeviceType,
<\/span><\/span>  ULONG           DeviceCharacteristics,
<\/span><\/span>  BOOLEAN         Exclusive,
<\/span><\/span>  PDEVICE_OBJECT  *<\/span>DeviceObject
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

DriverObject<\/code>：所属驱动对象<\/li>
DeviceName<\/code>：设备名称（格式为\Device\Name<\/code>）<\/li>
DeviceType<\/code>：通常使用FILE_DEVICE_SECURE_OPEN<\/code><\/li>
Exclusive<\/code>：是否独占设备<\/li>
<\/ul>
2.3 符号链接<\/h3>
用户模式程序需要通过符号链接访问设备：<\/p>

内核模式符号链接：\??\<\/code>开头<\/li>
用户模式符号链接：\\.\<\/code>开头<\/li>
<\/ul>
创建符号链接使用IoCreateSymbolicLink<\/code>函数。<\/p>
3. 用户模式与驱动通信<\/h2>
3.1 基本通信流程<\/h3>


用户模式通过CreateFile<\/code>获取设备句柄<\/p>
HANDLE hDevice =<\/span> CreateFile(
<\/span><\/span>  L<\/span>"<\/span>\\\\<\/span>.<\/span>\\<\/span>DeviceName"<\/span>,
<\/span><\/span>  GENERIC_READ |<\/span> GENERIC_WRITE,
<\/span><\/span>  0<\/span>,
<\/span><\/span>  NULL,
<\/span><\/span>  OPEN_EXISTING,
<\/span><\/span>  FILE_ATTRIBUTE_NORMAL,
<\/span><\/span>  NULL
<\/span><\/span>);
<\/span><\/span><\/code><\/pre><\/li>

使用DeviceIoControl<\/code>发送控制代码<\/p>
BOOL DeviceIoControl<\/span>(
<\/span><\/span>  HANDLE       hDevice,
<\/span><\/span>  DWORD        dwIoControlCode,
<\/span><\/span>  LPVOID       lpInBuffer,
<\/span><\/span>  DWORD        nInBufferSize,
<\/span><\/span>  LPVOID       lpOutBuffer,
<\/span><\/span>  DWORD        nOutBufferSize,
<\/span><\/span>  LPDWORD      lpBytesReturned,
<\/span><\/span>  LPOVERLAPPED lpOverlapped
<\/span><\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. KDMapper技术分析<\/h2>
KDMapper是一个利用iqvw64e.sys<\/code>驱动进行内存映射的工具。<\/p>
4.1 iqvw64e.sys的IOCTL处理<\/h3>
驱动中的关键IOCTL处理函数：<\/p>


0x33<\/strong>：内存复制操作<\/p>

使用memmove<\/code>函数<\/li>
参数结构：

a1+24：目标地址(PVOID Dst)<\/li>
a1+16：源地址(PVOID Src)<\/li>
a1+32：复制大小(SIZE_T MaxCount)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

0x25<\/strong>：获取物理地址<\/p>

参数结构：

a1+24：线性地址(Liner Addr)<\/li>
a1+16：物理地址(Physic Addr)<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

0x19<\/strong>：映射物理地址到线性地址<\/p>

使用MmMapIoSpace<\/code><\/li>
<\/ul>
<\/li>

0x1A<\/strong>：取消映射<\/p>

使用MmUnmapIoSpace<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4.2 内核函数调用技术<\/h3>
KDMapper通过hook技术执行任意内核函数：<\/p>

获取NtAddAtom<\/code>的用户模式地址<\/li>
获取NtAddAtom<\/code>的内核模式地址<\/li>
构造shellcode模板：
48E8 xxxxxxxx FFE0  ; call + jmp rax
<\/code><\/pre>
<\/li>
Hook NtAddAtom<\/code><\/li>
通过hook调用目标内核函数<\/li>
<\/ol>
4.3 内存加载驱动流程<\/h3>

在内核申请非分页内存<\/li>
复制PE头到内核内存<\/li>
修复重定位和导入表<\/li>
修复cookie<\/li>
调用DriverEntry<\/li>
<\/ol>
5. 常见漏洞驱动分析<\/h2>
5.1 viragt64.sys<\/h3>

符号链接<\/strong>：\DosDevices\Viragtlt<\/code><\/li>
IOCTL<\/strong>：0x82730030<\/code><\/li>
功能<\/strong>：通过ZwTerminateProcess<\/code>终止指定进程<\/li>
实现<\/strong>：

使用ZwQuerySystemInformation<\/code>查询进程信息<\/li>
遍历匹配进程名<\/li>
调用ZwTerminateProcess<\/code>终止进程<\/li>
<\/ul>
<\/li>
<\/ul>
5.2 gmer64.sys<\/h3>

符号链接<\/strong>：动态生成（基于加载时的DisplayName）<\/li>
IOCTL<\/strong>：0x9876C094<\/code><\/li>
功能<\/strong>：直接通过PID终止进程<\/li>
<\/ul>
5.3 amsdk.sys<\/h3>

IOCTL<\/strong>：0x80002048<\/code><\/li>
功能<\/strong>：根据调用者模式决定使用NtOpenProcess<\/code>或ZwOpenProcess<\/code>打开进程<\/li>
<\/ul>
6. 实战注意事项<\/h2>

参数验证<\/strong>：许多驱动会对输入参数进行验证（如长度检查）<\/li>
错误处理<\/strong>：注意处理0xC000000D<\/code>（无效参数）等错误<\/li>
内存操作<\/strong>：确保内存操作在合法范围内<\/li>
进程终止<\/strong>：终止进程时确保传递正确的字符串长度<\/li>
<\/ol>
7. 防御措施<\/h2>

禁用不必要的驱动程序<\/li>
监控驱动加载行为<\/li>
限制低权限用户加载驱动<\/li>
定期更新已知漏洞驱动<\/li>
<\/ol>
通过深入理解BYOVD技术和相关驱动的工作原理，安全研究人员可以更好地防御此类攻击，同时也能在合法授权范围内进行相关安全测试。<\/p>

BYOVD技术详解与实战指南<\/h1>

2. 驱动通信基础<\/h2>

4. KDMapper技术分析<\/h2> KDMapper是一个利用iqvw64e.sys<\/code>驱动进行内存映射的工具。<\/p>

5. 常见漏洞驱动分析<\/h2>

4. KDMapper技术分析<\/h2>
KDMapper是一个利用`iqvw64e.sys<\/code>驱动进行内存映射的工具。<\/p>`