UCCU Monthly Talk: Windows Driver

Transcript

1. NotSurprised @ UCCU [email protected]

2. > NotSurprised • ITRI engineer • UCCU hacker • 中山資管五年學碩士

   Email : [email protected]

3. > • Background • Driver Compiling • IRP • Driver

   Dev. • Driver Debug • Driver Signing • Conclusion
4. None

5. > • Windows Driver Model，簡稱WDM • Windows OS的I驅動程式的種類有: – 匯流排驅動程式（bus

   driver） – 功能驅動程式（function driver） – 篩選驅動程式（filter driver）

6. > & • Windows 7 後 Filter 的編譯生成被整合進VS，並進行了 一次架構更新，更名為Minifilter。 •

   Minifilter比傳統Filter更容易構建編譯，並且其可以動態 安裝/卸載是傳統Filter所不能的。

7. > • VXD (Virtual X Driver) – Windows 95、Windows 98

   • KDM (Kernel Driver Model) – Windows NT • WDM (Windows Driver Model) – Windows 2000 ~ Windows 8.1 – 使用 DDK (Driver Developer Kit) • WDF (Windows Driver Frameworks) – Windows 7 ~ Windows 10 – 使用 WDK (Windows Driver Kit)

8. >

9. > • 在 Windows作業系統的核心層(kernel-mode)中，是階層式的組態， 這種階層式驅動程式架構（Layered driver Architecture）又被稱為 驅動程式堆疊（Driver Stack）。 source

   : MSDN

10. > • Windows OS的IRP(I/O Request Packets)傳遞架構： source : MSDN

11. >

12. None

13. • 需要以下 header 檔案： fltKernel.h, mce.h, ntnls.h, crtdefs.h, ctype.h, excpt.h,

    stdio.h, string.h, swprintf.inl, vadefs.h, ntddk.h, ntifs.h, wdm.h, wsk.h, netioddk.h 這些在裝完 WDK 後會存於C:\Program Files (x86)\Windows Kits\10\Include 以管理員權限到 Visual Studio 開起專案， 設定「解決方案配置」(ex. win 8.1 debug)與「解決方案平台」(ex. win32)，然後 debug。 • minispy.exe & minispy.sys 建置： > cd C:\WDK 10.0 Sample\filesys\miniFilter\minispy > msbuild /t:clean /t:build .\minispy.sln > msbuild /p:KernelBufferOverflowLib=“C:\Program Files (x86)\Windows Kits\10\Lib\win8\km\x64\BufferOverflowK.lib” /p:platform=x64 /p:Configuration=“Win8.1 Release” minispy.sln minispy.exe minispy.sys 會生成在 C:\WDK 10.0 Sample\filesys\miniFilter\minispy\ • 至實驗機右鍵 minispy.inf 安裝，確認 C:\Windows\System32\drivers 下有無 minispy.sys 有則代 表可以使用管理者權限開啟 cmd 並使用 net start minispy 的指令將 minispy load 進 fltmc • 使用同個具管理者權限的 cmd 視窗 cd 至 minispy.exe 所在位置，使用 minispy.exe 執行 minispy。 > 、 、 WDM編譯

14. • 需要以下 header 檔案： fltKernel.h, mce.h, ntnls.h, crtdefs.h, ctype.h, excpt.h,

    stdio.h, string.h, swprintf.inl, vadefs.h, ntddk.h, ntifs.h, wdm.h, wsk.h, netioddk.h 這些在裝完 WDK 後會存於C:\Program Files (x86)\Windows Kits\10\Include 以管理員權限到 Visual Studio 開起專案， 設定「解決方案配置」(ex. win 8.1 debug)與「解決方案平台」(ex. win32)，然後 debug。 • minispy.exe & minispy.sys 建置： > cd C:\WDK 10.0 Sample\filesys\miniFilter\minispy > msbuild /t:clean /t:build .\minispy.sln > msbuild /p:KernelBufferOverflowLib=“C:\Program Files (x86)\Windows Kits\10\Lib\win8\km\x64\BufferOverflowK.lib” /p:platform=x64 /p:Configuration=“Win8.1 Release” minispy.sln minispy.exe minispy.sys 會生成在 C:\WDK 10.0 Sample\filesys\miniFilter\minispy\ • 至實驗機右鍵 minispy.inf 安裝，確認 C:\Windows\System32\drivers 下有無 minispy.sys 有則代表可 以使用管理者權限開啟 cmd 並使用 net start minispy 的指令將 minispy load 進 fltmc • 使用同個具管理者權限的 cmd 視窗 cd 至 minispy.exe 所在位置，使用 minispy.exe 執行 minispy。 > 、 、

15. • 在Microsoft發布微過濾器(minifilter)框架後，先後歷經 Windows 7到Windows 8之間的開發轉變，Microsoft 將許多編譯方式整合進Visual Studio，因此在安裝Visual Studio以及相關WDK、SDK時必須注意版本問題。 • 其中WDK可從官網下載，而SDK則建議於安裝Visual

    Studio時安裝想匹配的版本，而Visual Studio安裝SDK 預設為不安裝，因此需開啟自訂安裝並加以勾選。 • ARM/ARM64 > 、 、

16. > 、 、

17. > 、 、

18. > 、 、

19. > 、 、

20. >

21. >

22. > • WDF builder

23. >

24. > 、 、

25. > 、 、 終於把檔案安裝進System32\drivers中

26. > 、 、 Sample code problem.

27. >

28. > 、 、

29. > 、 、 Do not test driver on your host.

30. >

31. > • 合作碼農需要統一開發環境。

32. > • [編譯不同平台]從 build setting 換到 project->driver setting

33. > • [編譯不同平台]從 build setting 換到 project->driver setting

34. > • driver.inf 安裝完成後的 driver 註冊表項

35. > • 亦可使用WinObj檢查安裝成果。

36. > • 亦可使用WinObj檢查安裝成果。

37. ( )

38. > • IRP (I/O Request Package) 是在 Windows 內核中的一種資料結構， 它是儲存與輸入輸出相關重要資料的資料結構。

    • IRP 是一個很複雜的資料結構，首先需要了解 IRP 有兩個基本屬性， MajorFunction 和 MinorFunction，其分別記錄 IRP 的主類型和子 類型。 • 同樣的 MajorFunction 可能因為 MinorFunction 及參數的不同組合 出複雜多變的行為

39. > • IRP_MJ_DIRECTORY_CONTROL • IRP_MJ_READ • IRP_MJ_WRITE • IRP_MJ_QUERY_INFORMATION •

    IRP_MJ_SET_INFORMATION • IRP_MJ_CREATE • IRP_MJ_CLEANUP • IRP_MJ_CLOSE • IRP_MJ_DEVICE_CONTROL • IRP_MJ_LOCK_CONTROL • IRP_MJ_SET_VOLUME_INFORMATION • IRP_MJ_QUERY_SECURITY • IRP_MJ_SET_EA • …….

40. > • IRP結構

41. >

42. >

43. >

44. >

45. >

46. > • User module

47. >

48. None

49. > • UTF8 encode : 魯a = 9B 6F 00

    61 • ASCII encode : 9B 6F 00 61 = o a String Type Description char *str = {“kd string”} ANSI string wchar_t *wstr = {L”kd string”} Unicode string size_t len = strlen(str) ANSI string len size_t wlen Unicode string len printf(“%s %ws %d %d”, str, wstr, len, wlen) print format OutputDebugString(“%s”, wstr) print format

50. > C WDK unsigned long ULONG unsigned char UCHAR unsigned

    int UINT void VOID unsigned long * PULONG unsigned char * PUCHAR unsigned int* PUINT void * PVOID

51. > HANDLE Event UNICODE_STRING ObjectName Length MaximumLength Buffer 4 byte

    2 byte 2 byte 4 byte HANDLE Event UNICODE_STRING ObjectName Length MaximumLength Padding Buffer 8 byte 2 byte 2 byte 4 byte 8 byte

52. > • On Microsoft Windows 2000 and later versions of

    the operating system, \?? is equivalent to \DosDevices. • For example, the object name of the C:\WINDOWS\example.txt file is \DosDevices\C:\WINDOWS\example.txt. Path Type Description \\abc\xyz MSDN C:\abc\xyz MSDN \\.\C:\abc\xyz MSDN \\?\C:\abc\xyz MSDN \\?\UNC\abc\xyz MSDN \??\UNC\abc\xyz MSDN ?\UNC\abc\xyz Actually in WindowsServer 2012 2016

53. > • %windir%\system32\drivers • %windir%\sysWOW64\drivers

54. > • Use Driver to change IRP content. • If

    need error message, deny it. NTSTATUS IORequestPacketDeny(_In_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects) { Data->Iopb->MajorFunction = IRP_MJ_CLOSE; Data->IoStatus.Information = 0; Data->IoStatus.Status = STATUS_ACCESS_DENIED; Data->Iopb->TargetFileObject->FileName.Buffer = NULL; FLT_SET_CALLBACK_DATA_DIRTY(Data); return FLT_PREOP_COMPLETE; }

55. >

56. > • Just change Sample, attach to device we could

    obtain. • RtlStringCchPrintfW(name, 32, L“\\Device\\Serial%d”, id); ;

57. > • csrss.exe -> NtCreateFile -> IRP_MJ_READ(PDO) • IRP Pending(KeyBoard)

    • typedef struct _KEYBOARD_INPUT_DATA { USHORT UnitId; USHORT MakeCode; //mark pop up/press down USHORT Flags; USHORT Reserved; ULONG ExtraInformation; } KEYBOARD_INPUT_DATA, *PKEYBOARD_INPUT_DATA;

58. > • PatchGuard x64 一言不合就藍屏 Process/3rdAPI (wxWidgets.lib) Windows API System

    Service Dispatcher (KiSystemService) NtCreateFile SSDT User Mode Kernel Mode ntdll.dll NtClose

59. > System Service Dispatcher (KiSystemService) NtCreateFile SSDT User Mode Kernel

    Mode ntdll.dll NewCreateFile 你的指標不是你的指標，請用 MmGetSystemRoutineAddress()

60. > • 根據函數名稱找到SSDT位址 • 關閉處理器寫入保護(0fffefffh取代CR0保護) • cli 關閉中斷(interrupt) • 改寫函數指標(pointer)

    • 復原處理器寫入保護 • sti 開啟中斷 (I implement this in ASM.)

61. > • TDI internet socket filter (Transport Driver Interface) •

    WFP internet socket filter (Windows Filtering Platform) • It is similar to minifilter but focus on internet rather than storage device. > • Speed up • Shutdown reset
62. None

63. >

64. >

65. >

66. >

67. >

68. >

69. >

70. >

71. > • Copy .pdb and add srv*c:\MyServerSymbols*https://msdl.microsoft.co m/download/symbols to WinDBG

    symbol path.

72. >

73. >

74. None

75. > • Hold the shift while click reboot button. SHIFT

76. >

77. > • cmd.exe (system administrator ) > bcdedit /set TESTSIGNING

    ON

78. > • I assume you build your own dirver already,

    if you try to use sign function within VS project, that’s another issue. • You should already have .cat, .sys & .inf. (with sign function in VS, you will get your own usable .cer if you set it right.)

79. > • MakeCert -r -pe -ss TEST -n "CN=TEST.org" test.cer

    > • CertMgr /add minispy.cer /s /r localMachine root • CertMgr /add minispy.cer /s /r localMachine trustedpublisher

80. >

81. >

82. None

83. >

84. > 難道為了安全，框架可以說改就改嗎？ WDK

85. > 抱歉，我微軟還真的想改就改。

86. > Windows，回頭再上兩個Patch讓他編譯失敗。

87. > 我就是混不到飯吃，餓死，死外邊，淪落當SOD (Stack Overflow Developer)，也不再寫你家的破框架。

88. > 真香。 Windows Driver Jobs

89. None