Вылетает синий экран когда устанавливаю функцию выгрузки в драйвере

mddbs · 21.02.2024

ПОМОГИТЕ!!

Stupor · 21.02.2024

coree сказал(а):

Потому что надо передать указатель, а не адрес.
DriverObject->DriverUnload = &DriverUnload

Все правильно он передает как надо. Тут возможно косяк со стороны kdmapper.
Попробуй создать IoCreateSymbolicLink и по нормальному загрузить.

mddbs · 21.02.2024

Stupor сказал(а):

Все правильно он передает как надо. Тут возможно косяк со стороны kdmapper.
Попробуй создать IoCreateSymbolicLink и по нормальному загрузить.

Да я тоже подумал что возможно это из за маппера просто не хотелось возится с подписью

varwar · 21.02.2024

Стек вызовов при краше и код ошибки в студию.

Stupor · 21.02.2024

C:

#include <ntifs.h>
DRIVER_UNLOAD MyDriverUnload;
UNICODE_STRING MyDevice, MyDosDevice;



NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    UNREFERENCED_PARAMETER(RegistryPath);
    RtlInitUnicodeString(&MyDevice, L"\\Device\\MyDriver");
    RtlInitUnicodeString(&MyDosDevice, L"\\DosDevices\\MyDriver");

    IoCreateSymbolicLink(&MyDosDevice, &MyDevice);
    DriverObject->DriverUnload = MyDriverUnload;
    DbgPrintEx(0, 0, "MyDriver Load");
 
    return STATUS_SUCCESS;
}


VOID MyDriverUnload(_In_ PDRIVER_OBJECT DriverObject)
{
    DbgPrintEx(0, 0, "MyDriver Unload");
    IoDeleteSymbolicLink(&MyDosDevice);
}

Потом установка/запуск через sc

coree · 21.02.2024

mddbs сказал(а):

Да я тоже подумал что возможно это из за маппера просто не хотелось возится с подписью

https://github.com/fengjixuchui/gdrv-loader
У меня этот маппер отрабатывал нормально всегда.

mddbs · 21.02.2024

varwar сказал(а):

Стек вызовов при краше и код ошибки в студию.

код ошибки 0x0000003b

mddbs · 21.02.2024

Stupor сказал(а):

C:

#include <ntifs.h>
DRIVER_UNLOAD MyDriverUnload;
UNICODE_STRING MyDevice, MyDosDevice;



NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    UNREFERENCED_PARAMETER(RegistryPath);
    RtlInitUnicodeString(&MyDevice, L"\\Device\\MyDriver");
    RtlInitUnicodeString(&MyDosDevice, L"\\DosDevices\\MyDriver");

    IoCreateSymbolicLink(&MyDosDevice, &MyDevice);
    DriverObject->DriverUnload = MyDriverUnload;
    DbgPrintEx(0, 0, "MyDriver Load");
 
    return STATUS_SUCCESS;
}


VOID MyDriverUnload(_In_ PDRIVER_OBJECT DriverObject)
{
    DbgPrintEx(0, 0, "MyDriver Unload");
    IoDeleteSymbolicLink(&MyDosDevice);
}

Потом установка/запуск через sc

сделал как вы написали но всё равно синий экран

varwar · 21.02.2024

mddbs сказал(а):

Посмотреть вложение 77647 код ошибки 0x0000003b Посмотреть вложение 77650

8-9 какой модуль? Маппер или твой драйвер?

В консоли отладчика сделай.

Код:

.reload
kb

KiPageFault как бы намекает, что было обращение к невалидной памяти.

mddbs · 21.02.2024

varwar сказал(а):
8-9 какой модуль? Маппер или твой драйвер?

В консоли отладчика сделай.
Код:
.reload
kb
KiPageFault как бы намекает, что было обращение к невалидной памяти.

DoomSlayer2002 · 21.02.2024

mddbs сказал(а):

Если закомментировать данную функцию то всё ок
DriverObject->DriverUnload = UnloadDriver;

Kdmapper очевидно передаёт мусор вместо DriverObject - этот параметр не юзабелен если маппером грузишь свой драйвер там мусор
Вообщем-то выгрузить его никак нельзя

varwar · 21.02.2024

С UC "Your driver must be compiled with /GS- option, and have custom driver entry point defined." Возможно стоит сначала разобраться как маппер работает.

И да, DriverObject там как таковой скорее всего отсутствует. Тут согласен с DoomSlayer2002 и "легальный" код тут уже не релевантен.

mddbs · 21.02.2024

DoomSlayer2002 сказал(а):

Kdmapper очевидно передаёт мусор вместо DriverObject - этот параметр не юзабелен если маппером грузишь свой драйвер там мусор
Вообщем-то выгрузить его никак нельзя

ок не знал

DoomSlayer2002 · 21.02.2024

mddbs сказал(а):

ок не знал

И ещё на винде 11ой скорее всего маппер не будет работать - https://connormcgarr.github.io/hvci/
Щас по дефолту эта защита включена везде там - твой драйвер не смаппится

mddbs · 21.02.2024

DoomSlayer2002 сказал(а):

И ещё на винде 11ой скорее всего маппер не будет работать - https://connormcgarr.github.io/hvci/

работает на Windows 10 1607 to Windows 11 22449.1

mddbs · 21.02.2024

DoomSlayer2002 сказал(а):

И ещё на винде 11ой скорее всего маппер не будет работать - https://connormcgarr.github.io/hvci/
Щас по дефолту эта защита включена везде там - твой драйвер не смаппится

а если через пзу загружать ? написать мапер через пзу

varwar · 21.02.2024

Can't Use in Win 11 22H2 · Issue #122 · TheCruZ/kdmapper

Hello guys, do you think I built it wrong? Does it not working on OS buid > 22621.2428?

github.com

Make sure you have:
All Antivirus uninstalled (Is possible that some modules to protect the kernel remain active even with protection disabled)
FACEIT, Vanguard and other anticheats uninstalled, this anticheats can't be disabled and some of them are working in background, and they can intercept the IOCTL of vulnerable drivers to modify it behavior like antivirus
HVCI (Memory protection) Disabled
Vulnerable driver list disabled
less common but can give you issues: make sure there is no any real iqvw64e driver installed in your system

If you did all this steps and still don't work you may try to disable virtualization in your BIOS if enabled to prevent any tool from using virtualization to protect the system

На AMD процах тоже проблемы бывают.

Вылетает синий экран когда устанавливаю функцию выгрузки в драйвере

mddbs

RAID-массив

DoomSlayer2002

Stupor

system level

mddbs

RAID-массив

varwar

El Diff

Stupor

system level

coree

(L2) cache

mddbs

RAID-массив

mddbs

RAID-массив

varwar

El Diff

mddbs

RAID-массив

DoomSlayer2002

(L2) cache

varwar

El Diff

mddbs

RAID-массив

DoomSlayer2002

(L2) cache

mddbs

RAID-массив

mddbs

RAID-массив

varwar

El Diff

Can't Use in Win 11 22H2 · Issue #122 · TheCruZ/kdmapper