跳到主要内容

使用 KDMapper 加载 Valthrun 驱动程序

KDMapper 是手动将 Valthrun 驱动程序加载到内存中的推荐方法。 这个简单的工具利用 iqvw64e.sys 这个有漏洞的 Intel 驱动程序来映射未签名的驱动程序。这意味这你可以载入任意驱动,包括 Valthrun 驱动。 要使用 KDMapper 映射 Valthrun 驱动程序,请遵循以下步骤:

  1. 获取 KDMapper
    在使用 KDMapper 之前,您需要 KDMapper 的可执行文件。 KDMapper 官方资源库不提供下载链接,因此您有两个选择:

    • 自行编译(推荐)
      为提高安全性和可信度,建议自行编译 KDMapper。 您可以在 KDMapper 官方仓库中找到编译 KDMapper 的详细说明。 自行编译可确保您能控制源代码并验证其完整性。

    • 下载预编译版本
      您还可以在此处找到 KDMapper 的预编译版本。 请注意,该预编译版本并非由 Valtrun 提供,而是由用户 @valthrunner 编译并上传的。 下载预编译软件时,请务必小心谨慎,并确保您信任源代码。

  2. 以管理员身份打开命令行
    要成功运行 KDMapper,请使用管理员权限打开命令行。 您可以右键单击命令提示符PowerShell,然后选择“以管理员身份运行”。

  3. 导航至 Valthrun 目录
    在使用 KDMapper 载入 Valthrun 驱动程序之前,请确保你已进入 kdmapper.exe 和 valthrun-driver.sys 所在的目录。 使用 cd 命令导航到这些文件所在的目录,确保 KDMapper 能够访问驱动程序加载过程所需的组件。

  4. 使用 KDMapper 加载 valthrun-driver.sys
    要将 Valthrun 驱动程序加载到内存中,请在命令提示符或 PowerShell 中执行以下命令:

kdmapper.exe valthrun-driver.sys

如果操作成功,输出结果应如下所示:

[<] Loading vulnerable driver, Name: SaBVbLkOxDxwTNNOsSPnmMW
[+] NtLoadDriver Status 0x0
[-] Can't find pattern
[+] PiDDBLock found with second pattern
[+] PiDDBLock Ptr 0xfffff80130674912
[+] PiDDBCacheTable Ptr 0xfffff80130568508
[+] PiDDBLock Locked
[+] Found Table Entry = 0xFFFFAC0ED06F4C40
[+] PiDDBCacheTable Cleaned
[+] g_KernelHashBucketList Found 0xFFFFF8013222C088
[+] g_HashCacheLock Locked
[!] g_KernelHashBucketList looks empty!
[+] MmUnloadedDrivers Cleaned: SaBVbLkOxDxwTNNOsSPnmMW
[+] Image base has been allocated at 0xFFFFD0876A42E000
[+] Skipped 0x1000 bytes of PE Header
[<] Calling DriverEntry 0xFFFFD0876A433B10
[+] Callback example called
[+] DriverEntry returned 0x0
[<] Unloading vulnerable driver
[+] NtUnloadDriver Status 0x0
[+] Vul driver data destroyed before unlink
[+] success

确保输出中包含这一行: [+] DriverEntry returned 0x0.
如果存在这一行,则表明 Valthrun 驱动程序加载成功。 但是,如果输出中找不到这一行,则表明映射过程失败。 在这种情况下,请参阅故障排除部分,以获得解决问题的指导。

优点

使用 KDMapper 是一个非常简单的过程。 KDMapper 相当可靠,不需要大量的跟踪且通常不会发生错误。

Disadvantages

KDMapper 主要有两个缺点。