Ta的论坛

NTSTATUS
	FakeNtCreateSection(
	OUT PHANDLE  SectionHandle,
	IN ACCESS_MASK  DesiredAccess,
	IN POBJECT_ATTRIBUTES  ObjectAttributes,
	IN PLARGE_INTEGER  SectionSize  OPTIONAL,
	IN ULONG  Protect,
	IN ULONG  Attributes,
	IN HANDLE  FileHandle)
{

	state = ObReferenceObjectByHandle(FileHandle,
		FILE_ALL_ACCESS,
		*IoFileObjectType,
		KernelMode,
		(PVOID*)&pFileObj,
		NULL);

	if (NT_SUCCESS(state))
	{
		

		if ( Protect == PAGE_EXECUTE 
			&& Attributes == SEC_IMAGE 
			&& (int)FileHandle>= 0x80000000 )
		{

			state = GetFileFullPathByFileObj(pFileObj,szPath);
			if (!NT_SUCCESS(state))
			{
				goto pass;
			}
			//转储驱动文件
			DumpSysFile(szPath);
		}
		
		ObDereferenceObject(pFileObj);

	}
pass:
	xxxx

}

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-3-26 18:28: 0

[分享]360 hookport.sys 逆向的idb
不错，比我逆的函数名全，到时拿来参考

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-3-15 17:55: 0

[招聘]驱动开发工程师
这么nb要求

结果15K左右。。。。

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-3-15 17:51: 0

[求助]新人求助windbg分析dmp文件。错误ntdll.dll求真相
跟那没关系，错误明显是

Access violation - code c0000005

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-3-15 17:49: 0

[调查]NTFS下数据恢复原理及编程实践（目录草稿）
还可以讲讲磁盘级删除、添加文件嘛

还可以讲讲ntfs.sys内部数据结构组织嘛

还有windows文件操作api原理嘛

再不成搞一个ntfs-3g源码解读嘛

按照楼主delphi科普都可以网上写的思路，凑字还不容易= =

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-2-21 18:01: 0

[求助]关于取得动态获得SSDT中函数萦引号的问题
直接MmGetSystemRoutineAddress("ZwCreateTimer")也可以，不过只限于导出函数~

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-2-21 17:59: 0

[求助]关于取得动态获得SSDT中函数萦引号的问题
读ntdll的文件啊~从导出表里面得到函数名，找到函数就有ssdt号了

kd> u ntdll!zwcreatetimer
ntdll!NtCreateTimer:
7c92d1a0 b836000000    mov    eax,36h
7c92d1a5 ba0003fe7f    mov    edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d1aa ff12          call dword ptr [edx]
7c92d1ac c21000       ret    10h

不想分析文件直接attach一个进程，读他的ntdll.dll的内存分析也可以啊~

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-2-20 11:29: 0

[求助]关于取得动态获得SSDT中函数萦引号的问题
ZwCreateTimer是你自己extern的，编译出来就是多一个jmp xxxxx

那样取当然不行了

通用的办法还是从ntdll中取吧

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2012-2-13 18:05: 0

关于CreateRemoteThread执行远程进程函数的问题
调什么wndproc....根本不用远程线程，直接SendMessage,win32k.sys会帮你调用wndproc的 :)

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2011-11-15 18:45: 0

[原创]hide idt hook src
顶一下，ark不处理的钩子还有。。。不过反正也没有rootkit在用= =

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2011-10-27 10:55: 0

[求助]高手请进，怎么干掉360
拿个OD就要干掉360了……

ReturnsMe

雪币： 269

活跃值： (25)

能力值：

( LV7，RANK：100 )

在线值：

发帖

6

回帖

162

粉丝

0

关注

私信

ReturnsMe 2 2011-10-9 18:02: 0

[求助]求教，如何把windows缓存内容写入文件？
FlushFileBuffers？

ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-8-21 23:56 0 [原创]hook类,支持inline hook,ita hook,输出表hook,过滤等等功能，申请加精 ita………………
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-7-4 17:45 0 [原创]高端Rootkit的hook隐藏技术哈哈太坏了
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-6-5 01:40 0 [转帖]IDA Pro 6.3 确实是大杀器
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-18 18:39 0 [求助]老师让写个usb驱动过滤的程序，求大牛思路逻辑磁盘层过滤就行了~
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-17 16:43 0 [讨论]NDIS协议驱动等于 TDI驱动？ Interface和Drivers的区别o(╯□╰)o
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-15 14:26 0 [求助]360 及杀软的主动防御原理 kifastcallentry
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-7 10:26 0 [原创]Csrss进程剖析学习了~~期待继续~
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-4 15:03 0 [原创]sysanti病毒驱动分析（编译不过）搜AtapiReadWriteDisk 一大堆~~
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-5-4 14:50 0 [原创]对于极虎病毒驱动，啰嗦两句对于加载后自删除的驱动，在他加载时把驱动文件转储出来就行了，拿ida看内存dump多费劲~ NTSTATUS FakeNtCreateSection( OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PLARGE_INTEGER SectionSize OPTIONAL, IN ULONG Protect, IN ULONG Attributes, IN HANDLE FileHandle) { state = ObReferenceObjectByHandle(FileHandle, FILE_ALL_ACCESS, IoFileObjectType, KernelMode, (PVOID)&pFileObj, NULL); if (NT_SUCCESS(state)) { if ( Protect == PAGE_EXECUTE && Attributes == SEC_IMAGE && (int)FileHandle>= 0x80000000 ) { state = GetFileFullPathByFileObj(pFileObj,szPath); if (!NT_SUCCESS(state)) { goto pass; } //转储驱动文件 DumpSysFile(szPath); } ObDereferenceObject(pFileObj); } pass: xxxx }
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-3-26 18:28 0 [分享]360 hookport.sys 逆向的idb 不错，比我逆的函数名全，到时拿来参考
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-3-15 17:55 0 [招聘]驱动开发工程师这么nb要求结果15K左右。。。。
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-3-15 17:51 0 [求助]新人求助windbg分析dmp文件。错误ntdll.dll求真相跟那没关系，错误明显是 Access violation - code c0000005
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-3-15 17:49 0 [调查]NTFS下数据恢复原理及编程实践（目录草稿）还可以讲讲磁盘级删除、添加文件嘛还可以讲讲ntfs.sys内部数据结构组织嘛还有windows文件操作api原理嘛再不成搞一个ntfs-3g源码解读嘛按照楼主delphi科普都可以网上写的思路，凑字还不容易= =
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-2-21 18:01 0 [求助]关于取得动态获得SSDT中函数萦引号的问题直接MmGetSystemRoutineAddress("ZwCreateTimer")也可以，不过只限于导出函数~
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-2-21 17:59 0 [求助]关于取得动态获得SSDT中函数萦引号的问题读ntdll的文件啊~从导出表里面得到函数名，找到函数就有ssdt号了 kd> u ntdll!zwcreatetimer ntdll!NtCreateTimer: 7c92d1a0 b836000000 mov eax,36h 7c92d1a5 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92d1aa ff12 call dword ptr [edx] 7c92d1ac c21000 ret 10h 不想分析文件直接attach一个进程，读他的ntdll.dll的内存分析也可以啊~
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-2-20 11:29 0 [求助]关于取得动态获得SSDT中函数萦引号的问题 ZwCreateTimer是你自己extern的，编译出来就是多一个jmp xxxxx 那样取当然不行了通用的办法还是从ntdll中取吧
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2012-2-13 18:05 0 关于CreateRemoteThread执行远程进程函数的问题调什么wndproc....根本不用远程线程，直接SendMessage,win32k.sys会帮你调用wndproc的 :)
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2011-11-15 18:45 0 [原创]hide idt hook src 顶一下，ark不处理的钩子还有。。。不过反正也没有rootkit在用= =
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2011-10-27 10:55 0 [求助]高手请进，怎么干掉360 拿个OD就要干掉360了……
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 2011-10-9 18:02 0 [求助]求教，如何把windows缓存内容写入文件？ FlushFileBuffers？

{{ user_info.username }}