DrvMon是一个轻量级工具，用于监控驱动程序对系统内核API的调用。

DrvMon具有以下功能：

1. 1. 加载DrvMon驱动程序后，默认情况下，驱动程序将监控所有对ntoskrnl.exe、hal.dll和fltmgr.sys模块的调用信息（函数名、调用者地址、被调用者地址、调用时间、调用线程ID等）。

method

DrvMon通过内核模块重载+IAT钩子来欺骗驱动程序实现。具体实现细节如下：

1. 1. 通常情况下，当一个驱动程序被加载到内核时，Windows内核模块加载器会根据该模块的IAT项动态填充函数的真实地址。

1. 1. 传统的IAT钩子只能钩住固定的函数，不同的函数需要不同的处理。此外，它还很容易检测到，例如，我可以通过各种方法获取真实的内核模块基址，手动解析它的导出表，或者直接调用NtQuerySysxx获取模块基址，MmGetSystemRoutine获取函数等等。

1. 1. 然后，对某些可能获取模块基址的函数以及内核函数（如MmGetSystemRoutine），进行IAT钩子处理，并进行特殊处理。DrvMon维护一个假的PsLoadedModuleList，并修改驱动程序的Ldr（DriverObject->DriverSection），以防止驱动程序从这个位置获取真实模块的基址。

因此，为了欺骗驱动程序，需要对某些可能获取模块基址的函数以及内核函数进行特殊处理。在这里，我已经处理了：

1. MmGetSystemRoutineAddress

2. NtQuerySystemInformation

3. ZwQuerySystemInformation

4. RtlPcToFileHeader

当然,有许多函数可以实现上述效果，还需要处理更多的函数。

demonstration

• • 没加壳的普通驱动

• • 加了vmp壳并使用vmp的iat保护

• • YDARK自带的驱动(加了不知道什么版本的vmp壳)

https://github.com/ClownQq/YDArk

注意

• • DrvMon旨在作为一个教育工具，并不健壮。无论原理如何，DrvMon始终是一个激进且实验性的项目。我仍有许多函数没有处理或钩住。使用过程中出现蓝屏是很正常的**(其实是太菜,有两个蓝屏可以复现,但是没能解决)。**

1. 1. 在getModuleNameByPtr函数中，info这个局部变量的指针指针莫名其妙会被破坏，尽管前面我已经判断指针的有效性了，所以猜测是栈被破坏了，但是10次有一次复现，没有精力继续解决(菜)。

下载工具

https://github.com/Fyyre/DrvMon