驱动开发：内核特征码搜索函数封装

2023年1月30日下午2:58 • Python • 阅读 15

在前面的系列教程如 《驱动开发：内核枚举DpcTimer定时器》或者 《驱动开发：内核枚举IoTimer定时器》里面 LyShark大量使用了 特征码定位这一方法来寻找符合条件的 汇编指令集，总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代码，本章内容中将重点分析，并实现一个 通用特征定位函数。

如下是一段特征码搜索片段，可以看到其实仅仅只是将上章中的搜索方式变成了一个 SearchSpecialCode函数，如下函数，用户传入一个 扫描起始地址以及搜索特征码的字节数组，即可完成搜索工作，具体的参数定义如下。

pSearchBeginAddr 扫描的内存(内核)起始地址
ulSearchLength 需要扫描的长度
pSpecialCode 扫描特征码,传入一个UCHAR类型的字节数组
ulSpecialCodeLength 特征码长度,传入字节数组长度

// By: LyShark.com
PVOID SearchSpecialCode(PVOID pSearchBeginAddr, ULONG ulSearchLength, PUCHAR pSpecialCode, ULONG ulSpecialCodeLength)
{
  PVOID pDestAddr = NULL;
  PUCHAR pBeginAddr = (PUCHAR)pSearchBeginAddr;
  PUCHAR pEndAddr = pBeginAddr + ulSearchLength;
  PUCHAR i = NULL;
  ULONG j = 0;

  for (i = pBeginAddr; i = ulSpecialCodeLength)
    {
      pDestAddr = (PVOID)i;
      break;
    }
  }
  return pDestAddr;
}

那么这个简单的特征码扫描函数该如何使用，这里我们就用 《驱动开发：内核枚举IoTimer定时器》中枚举 IopTimerQueueHead链表头部地址为案例进行讲解，如果你忘记了如何寻找链表头部可以去前面的文章中学习，这里只给出实现流程。

我们首先通过 MmGetSystemRoutineAddress得到 IoInitializeTimer首地址，然后在偏移长度为 0x7e范围内搜索特征码 48 8d 0d特征，其代码可以总结为如下样子。

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
    DbgPrint(("hello lyshark.com \n"));

    // 得到基址
    PUCHAR IoInitializeTimer = GetIoInitializeTimerAddress();
    DbgPrint("IoInitializeTimer Address = %p \n", IoInitializeTimer);

    // ---------------------------------------------------
    // LyShark 开始定位特征

    // 设置起始位置
    PUCHAR StartSearchAddress = (PUCHAR)IoInitializeTimer;

    // 设置结束位置
    PUCHAR EndSearchAddress = StartSearchAddress + 0x7e;
    DbgPrint("[LyShark 搜索区间] 起始地址: 0x%X --> 结束地址: 0x%X \n", StartSearchAddress, EndSearchAddress);

    // 设置搜索长度
    LONGLONG size = EndSearchAddress - StartSearchAddress;
    DbgPrint("[LyShark 搜索长度] 长度: %d \n", size);

    PVOID ptr;

    // 指定特征码
    UCHAR pSpecialCode[256] = { 0 };

    // 指定特征码长度
    ULONG ulSpecialCodeLength = 3;

    pSpecialCode[0] = 0x48;
    pSpecialCode[1] = 0x8d;
    pSpecialCode[2] = 0x0d;

    // 开始搜索,找到后返回首地址
    ptr = SearchSpecialCode(StartSearchAddress, size, pSpecialCode, ulSpecialCodeLength);

    DbgPrint("搜索特征码首地址: 0x%p \n", ptr);

    Driver->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

代码运行后，您会发现它可以直接定位到我们需要的位置，如下图所示：

[En]

After the code runs, you will find that it can be located directly to the location we need, as shown in the following figure:

如上图所示，签名位置函数返回内存地址，我们需要获取地址中的数据，因此需要提取以下内容。

[En]

As you can see in the figure above, the signature location function returns the memory address, and we need to get the data in the address, so we need to extract the following.

例如当指令是:

fffff80206185c00 488d0dd9ddcdff  lea rcx,[nt!IopTimerQueueHead (fffff80205e639e0)]

那么就需要 RtlCopyMemory跳过前三个字节，并在第四个字节开始取数据，并将读入的数据放入到 IopTimerQueueHead_LyShark_Code变量内。

// 署名
// PowerBy: LyShark
// Email: me@lyshark.com

    // 开始搜索,找到后返回首地址
    ptr = SearchSpecialCode(StartSearchAddress, size, pSpecialCode, ulSpecialCodeLength);

    DbgPrint("搜索特征码首地址: 0x%p \n", ptr);

    // 提取特征
    // fffff80206185c00 488d0dd9ddcdff  lea     rcx,[nt!IopTimerQueueHead (fffff80205e639e0)]
    ULONG64 iOffset = 0;
    ULONG64 IopTimerQueueHead_LyShark_Code = 0;

    __try
    {
        // 拷贝内存跳过lea,向后四字节
        RtlCopyMemory(&iOffset, (ULONG64)ptr + 3, 4);

        // 取出后面的IopTimerQueueHead内存地址 LyShark.com
        IopTimerQueueHead_LyShark_Code = iOffset + (ULONG64)ptr + 7;

        DbgPrint("提取数据: 0x%p \n", IopTimerQueueHead_LyShark_Code);
    }
    __except (1)
    {
        DbgPrint("[LySHark] 拷贝内存异常 \n");
    }

这样，我们就可以获得我们需要的地址，如以下结果所示：

[En]

In this way, we can get the address we need, as shown in the following result:

Original: https://www.cnblogs.com/LyShark/p/16798318.html
Author: lyshark
Title: 驱动开发：内核特征码搜索函数封装

Title: conda 环境迁移, 修改conda路径（复制文件夹 + 软连接）

前言

root空间不够，需要把conda移到其他路径。

操作步骤

假设你原来的conda安装在 /root/anaconda3路径下，要把它挪到 /home/me/anaconda3.

1. 移动文件夹

先把文件夹挪过去：

mv /root/anaconda3 /home/me/anaconda3

3. 创建软连接

然后创建一个软连接，相当于一个快捷方式：

[En]

Then create a soft connection, which is equivalent to a shortcut:

ln -s /home/me/anaconda3 /root/anaconda3

第一个参数真正实现了一些功能，第二个参数是一条捷径。

[En]

The first parameter really puts something, and the second is a shortcut.

这样相当于每次系统找/root/anaconda3的时候就会去/home/me/anaconda3找，但/root/anaconda3路径本身不占存储空间。

3. 测试是否成功

如果你的订单没有出错，基本上没问题。

[En]

If you don’t make a mistake with an order, it’s basically fine.

conda -V
pip list
source activate my_env
pip
conda deactivate

补充资料：conda路径在哪些地方设置

https://zhuanlan.zhihu.com/p/265660902
以下文件都包含了conda路径：

～/.bashrc # 改完需要执行 source ~/.bashrc 使其生效
/…/archiconda3/etc/profile.d/conda.sh
/…/archiconda3/bin/conda
/…/archiconda3/bin/activate
/…/archiconda3/bin/deactivate
/…/archiconda3/bin/pip
以上是常用的，其实conda3/bin底下所有文件都有配置。
如果您之前安装了虚拟环境，还需要修改

[En]

if you have previously installed a virtual environment, you also need to modify*
/…/archiconda3/envs/env_name/bin/pip
综上所述，还有很多变化逐一出现。当然，您也可以编写脚本。我们的软连接应该是最简单、最方便的方式。

[En]

To sum up, there are still a lot of changes one by one. Of course, you can write a script. Our soft connection should be the easiest and most convenient way.

其他资料

https://www.cnblogs.com/baiyiqingxiang/p/15701992.html
整个文件夹迁移

单个环境迁移：
https://blog.csdn.net/qq_41967982/article/details/115867230

.bashrc 文件：
https://blog.csdn.net/qq_30214939/article/details/72638202

Original: https://blog.csdn.net/qq_34342853/article/details/123020957
Author: YuQiao0303
Title: conda 环境迁移, 修改conda路径（复制文件夹 + 软连接）

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/363337/

转载文章受原作者版权保护。转载请注明原作者出处！

python

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

使用Flask搭建一个简单的接口自动化测试服务

1. 说明 2. 使用 2.1. 简单使用 2.2. 接口支持内容 2.3. 用户信息结构 3. 相关代码 3.1. api_server.py 3.2. test_api.py …

Python 2023年1月3日
0058
前端之JavaScript—BOM和DOM

一、BOM和DOM概述通过之前的两篇文章，相信大家已经掌握了JavaScript的一些简单的语法。但是这些简单的语法，并没有和浏览器有任何交互。也就是我们还不能制作一些我们经常看…

Python 2022年10月14日
0097
Python 玩数据分析：统计 Excel 并用 Matplotlib 绘图

Python 玩数据分析：统计 Excel 并用 Matplotlib 绘图 * – + * 数据无处不在 * 我希望我懂得如何使用基本的电子公式 * 一图胜千言 * …

Python 2023年1月13日
0036
解决Mac更新安装zsh后出现Python虚拟环境的问题

如果每次打开终端都提示： The default interactive shell is now zsh. To update your account to use zsh, …

Python 2022年9月6日
00173
梯度下降算法(Gradient descent)

首先，我们需要明确梯度下降就是求一个函数的最小值，对应的梯度上升就是求函数最大值。简而言之：梯度下降的目的就是求函数的极小值点，例如在最小化损失函数或是线性回归学习中都要用到梯度…

Python 2022年12月23日
0027
数据分析-分类-案例-糖尿病数据集

@数据分析-分类-案列-糖尿病数据集 Sklearn中分类的模块主要有：决策树分类： tree.DecisionTreeClassifierK近邻分类： neighbors.KN…

Python 2023年1月23日
0035
python找房源_Python租房信息分析！找到最适合自己的房源信息！

file_data.shape 空值处理 file_data = file_data.dropna file_data.shape 删除空值，最好先做判断空值处理 file_da…

Python 2023年1月9日
0018
python自动化办公

一，xlwings的安装与使用 1，xlwings是什么在日常生活中我们或多或少的都会跟Excel打交道，比如做销售统计，人力的考勤，学生的考试成绩等等，甚至在某些领域会涉及到批…

Python 2023年2月3日
0028
flask配置SSL证书，实现https服务 & Nginx实战（推荐使用Nginx配置）

flask配置SSL证书，实现https服务 & Nginx实战文章目录 flask配置SSL证书，实现https服务 & Nginx实战 * 一、什么是数字签名…

Python 2023年1月1日
0061
Python

Pandas中的loc与iloc用法详解

1.基本简介 1.1 loc与iloc基本含义 loc函数：通过行索引 “Index” 中的具体值来取行数据（如取”Index”为…

2022年8月22日
00225
Jupyter Notebook 默认储存地址更改方法

抵扣说明： 1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。 Original: https:…

Python 2023年1月9日
0049
m1 ssd监控 mac定时任务

最近购买了m1 pro的中配版mac 前期听说ssd读取有问题于是在知乎逛一圈发现有大佬写好的pyplot 于是借用写了一个mac定时任务来监控自己电脑的ssd情况大佬🔗点…

Python 2023年1月15日
0017
sum(-1)、sum(1)、sum(0)、sum()与axis=-1,1,0

一、axis 实例： axis=0：以axis=-1： 2. 对axis的理解 np.sum() 一、axis 一句话解释：设axis=i，则沿着第i个下标变化的方向进行操作（忽…

Python 2023年1月13日
0045
pytest-mock的使用

mock介绍当一个功能依赖另一个功能时，而这个功能还没有完善，需要使用mock来模拟依赖的返回mock主要有以下几个库： unittest.mock：python内置的用于moc…

Python 2023年1月17日
0024
pytest + yaml 框架 – 1.我们发布上线了！

前言基于 httprunner 框架的用例结构，我自己开发了一个pytest + yaml 的框架，那么是不是重复造轮子呢？不可否认 httprunner 框架设计非常优秀，但是…

Python 2023年1月17日
0024
Python函数中apply、map、applymap的区别

apply —— 应用在 dataFrame 上，用于对 row 或者 column 进行计算 applymap —— 应用在 dataFrame 上，元素级别的操作 map ——…

Python 2022年9月5日
00140

2023年 3月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

驱动开发：内核特征码搜索函数封装

相关阅读

Title: conda 环境迁移, 修改conda路径（复制文件夹 + 软连接）

文章目录

前言

操作步骤

1. 移动文件夹

3. 创建软连接

3. 测试是否成功

补充资料：conda路径在哪些地方设置

其他资料

大家都在看