Windows Driver (Part 1)

Introduction to Windows Drivers

ال Drivers هي عبارة عن برامج تعمل كوسيط بين نظام التشغيل والاجهزة المتصلة. عند تركيب hardware جديد على الجهاز مثل GPU نظام التشغيل يبحث عادةً عن Drivers المناسب ويثبتها تلقائيًا. يتم تشغيل Drivers في Kernel Mode وهذا يسمح لها الحصول على تحكم كامل على الجهاز.

Environment Configuration

قامت Microsoft بتقديم policy جديدة بأسم Driver Signing لنظام Windows 10 والأصدارات الحديثة للمحافظة على نظام التشغيل من البرامج الخبيثة. هذه ال Policy تجبر الشركات على توقيع (Sign) ال drivers الخاصة بهم لكي تتمكن من العمل في Kernel Mode. يمكن تحويل النظام الى Test Mode لتخطي Policy. شغل CMD بصلاحيات Administrator ونفذ الأوامر التالية لتفعيل Test Mode و Kernel Debugging:

C:\>bcdedit /debug on

C:\>bcdedit /set testsigning on

C:\>bcdedit /dbgsettings net hostip:<ip address> port:<port number>

The last command will generate a key, which we will use in WinDBG, make sure to save it, and do not reboot until your WinDBG is ready

شغل WinDBG في الجهاز الثاني ودخل Port Number و Key في File > Kernel Debug > NET

أذا سويت restart للجهاز الأول رح تشوف شي مشابه للصورة هذه:

You can load Symbols by adding this in "File" -> "Symbol File Path": SRV*C:\symcache*http://msdl.microsoft.com/download/symbols Then run the .reload command

Creating Our First Driver

نعرف Prototype او ال Parameters الي ياخذهم DriverEntry:

#include <ntddk.h>

NTSTATUS DriverEntry(
_In_ PDRIVER_OBJECT DriverObj,
_In_ PUNICODE_STRING RegPath)
{
    UNREFERENCED_PARAMETER(DriverObj);
    UNREFERENCED_PARAMETER(RegPath);
    return STATUS_SUCESS;
}

DriverEntry is similar to the main function in C

طالما نقدر نسوي debug لل driver عن طريق WinDBG نقدر نطبع رسالة عن طريق ()DbgPrint :

DbgPrint("[+] Hello from WinDriver\n");

من اهم الأشياء الي لازم تصير اذا رح نسوي unload لل driver هو free our resources عشان ما يكون في اي Memory leaks. رح نسوي function يسوي هذه العملية لنا بس اول شي خلونا نحجز مكان في Memory:

void DriverClean(PDRIVER_OBJECT DriverObj);
PVOID MemoryAddress;

extern "C"
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObj, _In_ PUNICODE_STRING RegPath)
{
	UNREFERENCED_PARAMETER(RegPath);

	DbgPrint("[+] Hello from WinDriver\n");

	DriverObj->DriverUnload = DriverFree;

	MemoryAddress = ExAllocatePoolWithTag(PagedPool, 2024, 'TAG1');

	DbgPrint("[+] Allocated memory pool: 0x%08p\n", MemoryAddress);

	return STATUS_SUCCESS;
}

اذا صارت عملية unload ال DriverUnload رح ينادي DriverFree function ومحتواها بسيط فقط بتسوي

:free the allocated memory

void DriverClean(PDRIVER_OBJECT DriverObj)
{
	UNREFERENCED_PARAMETER(DriverObj);

	DbgPrint("[+] WinDriver Unloaded\n");
	DbgPrint("[+] Freeing memory: 0x%08p\n", MemoryAddress);

	ExFreePoolWithTag(MemoryAddress, 'TAG1');
}

لازم ننشئ service حتى نقدر نشغل ال Driver:

C:\> sc create WinDriver type=kernel binpath=<DriverPath>

C:\> sc start WinDriver

C:\> sc stop WinDriver

اول ما يشتغل ال Driver وتوقفه رح تقدر تشوف كل شي في WinDBG:

IRP Major Function Codes

ال IRP هو اختصار ل I/O Request Packet كل IRP يكون فيها MajorFunction code (IRP_MJ_XXX) والي تساعد driver يعرف ايش العملية لتلبية طلب I/O Request. كل Driver لازم يوفر dispatch routines لل Major Function الي يدعمها هذه بعض ال Major Function:

رح نستخدم IRP_MJ_CREATE و IRP_MJ_CLOSE حتى نقدر نفتح و نغلق ال Device:

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObj, _In_ PUNICODE_STRING RegPath)
{
	...
    	DriverObj->MajorFunction[IRP_MJ_CREATE] = IRPCreateClose;
	DriverObj->MajorFunction[IRP_MJ_CLOSE] = IRPCreateClose;
	...
}

NTSTATUS IRPCreateClose(_In_ PDEVICE_OBJECT DeviceObj, _In_ PIRP Irp)
{
	UNREFERENCED_PARAMETER(DeviceObj);

	DbgPrint("[+] WinDriver IRPCreateClose called\n");

	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return STATUS_SUCCESS;
}

كل Driver لازم يكون له Device Object و Symlink حتى نقدر نتواصل مع Driver من ال User Mode. نقدر نسوي هذه العملية عن طريق IoCreateDevice و IoCreateSymbolicLink :

NTSTATUS IoCreateDevice(
  [in]           PDRIVER_OBJECT  DriverObject,
  [in]           ULONG           DeviceExtensionSize,
  [in, optional] PUNICODE_STRING DeviceName,
  [in]           DEVICE_TYPE     DeviceType,
  [in]           ULONG           DeviceCharacteristics,
  [in]           BOOLEAN         Exclusive,
  [out]          PDEVICE_OBJECT  *DeviceObject
);

NTSTATUS IoCreateSymbolicLink(
  [in] PUNICODE_STRING SymbolicLinkName,
  [in] PUNICODE_STRING DeviceName
);

UNICODE_STRING DeviceName = RTL_CONSTANT_STRING(L"\\Device\\WinDriver");
UNICODE_STRING Symlink = RTL_CONSTANT_STRING(L"\\??\\WinDriver");

extern "C"
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObj, _In_ PUNICODE_STRING RegPath)
{

	...
	PDEVICE_OBJECT DeviceObject;
	NTSTATUS status = IoCreateDevice(DriverObj, 0, &DeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, &DeviceObject);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("[-] Failed to create Device Object\n");
		return status;
	}

	status = IoCreateSymbolicLink(&Symlink, &DeviceName);

	if (!NT_SUCCESS(status))
	{
		DbgPrint("[-] Failed to create symbolic link\n");
		IoDeleteDevice(DeviceObject);
		return status;
	}
}

NTSTATUS IRPCreateClose(_In_ PDEVICE_OBJECT DeviceObject, _In_ PIRP Irp)
{
	UNREFERENCED_PARAMETER(DeviceObject);

	DbgPrint("[+] WinDriver IRPCreateClose called\n");

	Irp->IoStatus.Status = STATUS_SUCCESS;
	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return STATUS_SUCCESS;
}

void DriverClean(PDRIVER_OBJECT DriverObj)
{
	UNREFERENCED_PARAMETER(DriverObj);

	DbgPrint("[+] WinDriver Unloaded\n");
	IoDeleteSymbolicLink(&Symlink);
	IoDeleteDevice(DriverObj->DeviceObject);

}

رح نستخدم IOCTLs عشان يقدر ال client يحدد اي function ال driver رح يستخدم. تقدر في نفس project تنشئ header file عشان نعرف IOCTL. واجهة عدة مشاكل في تعريفهم لكن هذه article ساعدتني.

header.h:

#define WINDRIVER_DEVICE    0x8000
#define WINDRIVER_IOCTL_FUN1    CTL_CODE(WINDRIVER_DEVICE, 0x800, METHOD_NEITHER, FILE_ANY_ACCESS)
#define WINDRIVER_IOCTL_FUN2    CTL_CODE(WINDRIVER_DEVICE, 0x801, METHOD_NEITHER, FILE_ANY_ACCESS)

ننشئ function جديد وضيفته يستخرج ال IOCTL من Client:

NTSTATUS DeviceCntrl(_In_ PDEVICE_OBJECT DeviceObj, _In_ PIRP Irp)
{
	UNREFERENCED_PARAMETER(DeviceObj);

	PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp);
	NTSTATUS status = STATUS_SUCCESS;
	ULONG_PTR length = 0;

	switch (stack->Parameters.DeviceIoControl.IoControlCode)
	{
	case WINDRIVER_IOCTL_FUN1:
		DbgPrint("[+] WINDRIVER_IOCTL_FUN1 called\n");
		break;

	case WINDRIVER_IOCTL_FUN2:
		DbgPrint("[+] WINDRIVER_IOCTL_FUN2 called\n");
		break;

	default:
		status = STATUS_INVALID_DEVICE_REQUEST;
		DbgPrint("[-] STATUS_INVALID_DEVICE_REQUEST\n");
		break;
	}

	Irp->IoStatus.Status = status;
	Irp->IoStatus.Information = length;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return status;
}

رح نستخدم IRP_MJ_DEVICE_CONTROL الي رح يتحكم في I/O control requests :

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObj, _In_ PUNICODE_STRING RegPath)
{
    ...
    DriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DeviceCntrl;
    ...
}

ال Client Code رح يكون بسيط, كل الي رح نسويه هو فتح handle لل Driver عن طريق CreateFile. وبعدها رح نستخدم DeviceIoControl والي رح ينادي IRP_MJ_DEVICE_CONTROL:

#include <Windows.h>
#include <stdio.h>
#include "header.h"

int main()
{
    // Open a handle to WinDriver
    printf("[+] Opening handle to driver\n");
    HANDLE hDriver = CreateFile(L"\\\\.\\WinDriver", GENERIC_WRITE, FILE_SHARE_WRITE, nullptr, OPEN_EXISTING, 0, nullptr);

    if (hDriver == INVALID_HANDLE_VALUE)
    {
        printf("[-] Failed to open a handle %d", GetLastError());
        return 1;
    }

    // Call WINDRIVER_IOCTL_FUN1
    printf("[+] Calling WINDRIVER_IOCTL_FUN1\n");
    BOOL status = DeviceIoControl(hDriver, WINDRIVER_IOCTL_FUN1, nullptr, 0, nullptr, 0, nullptr, nullptr);

    if (!status){ 
        printf("[-] failed to call WINDRIVER_IOCTL_FUN1\n");
    }

    printf("[+] Sleeping\n");
    Sleep(2000);

    // Call WINDRIVER_IOCTL_FUN2
    printf("[+] Calling WINDRIVER_IOCTL_FUN2\n");
    status = DeviceIoControl(hDriver, WINDRIVER_IOCTL_FUN2, nullptr, 0, nullptr, 0, nullptr, nullptr);

    if (!status) {
        printf("[-] failed to call WINDRIVER_IOCTL_FUN2\n");
    }

    printf("[+] Sleeping\n");
    Sleep(2000);
    
    // Call invalid IOCTL
    printf("[+] Calling invalid IOCTL\n");
    status = DeviceIoControl(hDriver, 0x802, nullptr, 0, nullptr, 0, nullptr, nullptr);

    if (!status) {
        printf("[-] failed to call invalid IOCTL\n");
    }

    // Close the handle
    printf("[+] Closing handle\n");
    CloseHandle(hDriver);
}

Send and Receive Data

اخر حاجة رح اشرحها هو كيف نقدر نرسل بيانات ونستلمها من ال Driver وطبعاً هذا كله يتم من خلال DeviceIoControl . في البداية رح نسوي two structures واحد خاص بال Client Input والثاني بال Results/Response:

header.h

struct ClientInput
{
	int Number;
};

struct Response {
	int ResponseNumber;
};

الان رح نخلي ال Driver يستلم البيانات و يرجعها لل Client. أضفت checks عشان نتفادى BSOD:

NTSTATUS DeviceCntrl(_In_ PDEVICE_OBJECT DeviceObj, _In_ PIRP Irp)
{
	...
	int num;
	int Finalnum;
	ClientInput* data;
	Response* reply;

	switch (stack->Parameters.DeviceIoControl.IoControlCode)
	{
	case WINDRIVER_IOCTL_FUN1:
		DbgPrint("[+] WINDRIVER_IOCTL_FUN1 called\n");
		if (stack->Parameters.DeviceIoControl.InputBufferLength < sizeof(ClientInput))
		{
			status = STATUS_BUFFER_TOO_SMALL;
			break;
		}

		data = (ClientInput*)stack->Parameters.DeviceIoControl.Type3InputBuffer;

		if (data == nullptr)
		{
			status = STATUS_INVALID_PARAMETER;
			break;
		}

		num = data->Number;

		DbgPrint("[+] Client Number: %d\n", num);

		
		if (stack->Parameters.DeviceIoControl.OutputBufferLength < sizeof(Response))
		{
			status = STATUS_BUFFER_TOO_SMALL;
			break;
		}
		reply = (Response*)Irp->UserBuffer;
		if (reply == nullptr)
		{
			status = STATUS_INVALID_PARAMETER;
			break;
		}

		Finalnum = num * 2;
		reply->ResponseNumber = Finalnum;
		length = sizeof(Finalnum);
		break;
	
	...
}

طيب من ناحية ال Client Code رح نستخدم نفس ال header file لأن فيه ال Structure الي نحتاجه. بس الي علينا اننا نعرف متغير فيه البيانات الي رح ترسل ومتغير يستلم الأجابة:

#include "header.h"

int main()
{
    // Open a handle to WinDriver
    printf("[+] Opening handle to driver\n");
    HANDLE hDriver = CreateFile(L"\\\\.\\WinDriver", GENERIC_WRITE, FILE_SHARE_WRITE, nullptr, OPEN_EXISTING, 0, nullptr);

    if (hDriver == INVALID_HANDLE_VALUE)
    {
        printf("[-] Failed to open a handle %d", GetLastError());
        return 1;
    }

    ClientInput data;
    Response reply;
    data.Number = 1337;
    DWORD Returnedbytes;
    // Call WINDRIVER_IOCTL_FUN1
    printf("[+] Calling WINDRIVER_IOCTL_FUN1\n");
    BOOL status = DeviceIoControl(
        hDriver,
        WINDRIVER_IOCTL_FUN1,
        &data,
        sizeof(data),
        &reply,
        sizeof(reply),
        &Returnedbytes,
        nullptr);

    if (status){ 
        printf("[+] Number sent: %d\n", data.Number);
        printf("[*] Driver Multiplying number by 2...\n");
        printf("[+] Results: %d\n", reply.ResponseNumber);
    }

    else { printf("[-] failed to call WINDRIVER_IOCTL_FUN1\n"); }
    
    ...