[求助]逆向一个驱动，发现里面仅仅就是操作了下KeTickCount，这是啥目的呢？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼你的这个函数是编译器生成的. 进入sub_10550函数内部才是DriverEntry ... 2010-10-10 01:01 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 3 楼编译器开启了gs开关最后的return才是重点 2010-10-10 07:38 0
Aiscanf 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	Aiscanf 4 楼感谢ls两位的指导小弟还有疑惑的是：这个代码后面的return 也貌似没做啥啊，代码如下： NTSTATUS __stdcall sub_10550(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { NTSTATUS v3; // edx@1 UNICODE_STRING SymbolicLinkName; // [sp+Ch] [bp-14h]@1 UNICODE_STRING DestinationString; // [sp+14h] [bp-Ch]@1 PDEVICE_OBJECT DeviceObject; // [sp+1Ch] [bp-4h]@1 RtlInitUnicodeString(&DestinationString, L"\\Device\\NameXX"); IoCreateDevice(DriverObject, 0x10u, &DestinationString, 0x22u, 0, 0, &DeviceObject); RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\NameXX"); v3 = IoCreateSymbolicLink(&SymbolicLinkName, &DestinationString); memset(DriverObject->MajorFunction, (int)sub_104E6, 0x6Cu); DriverObject->DriverUnload = (PDRIVER_UNLOAD)sub_104B0; return v3; } 上面的memset(DriverObject->MajorFunction, (int)sub_104E6, 0x6Cu);这句也就是把派遣函数设置成了这个样子： int __stdcall sub_104E6(int a1, PIRP Irp) { IofCompleteRequest(Irp, 0); return 0; } 小弟不解这个驱动是啥目的？ 2010-10-10 12:42 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 5 楼这个驱动没目的。。 2010-10-10 14:47 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼其实它是在逗你玩。 2010-10-10 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼你的这个函数是编译器生成的. 进入sub_10550函数内部才是DriverEntry ... 2010-10-10 01:01 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 3 楼编译器开启了gs开关最后的return才是重点 2010-10-10 07:38 0
Aiscanf 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	Aiscanf 4 楼感谢ls两位的指导小弟还有疑惑的是：这个代码后面的return 也貌似没做啥啊，代码如下： NTSTATUS __stdcall sub_10550(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { NTSTATUS v3; // edx@1 UNICODE_STRING SymbolicLinkName; // [sp+Ch] [bp-14h]@1 UNICODE_STRING DestinationString; // [sp+14h] [bp-Ch]@1 PDEVICE_OBJECT DeviceObject; // [sp+1Ch] [bp-4h]@1 RtlInitUnicodeString(&DestinationString, L"\\Device\\NameXX"); IoCreateDevice(DriverObject, 0x10u, &DestinationString, 0x22u, 0, 0, &DeviceObject); RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\NameXX"); v3 = IoCreateSymbolicLink(&SymbolicLinkName, &DestinationString); memset(DriverObject->MajorFunction, (int)sub_104E6, 0x6Cu); DriverObject->DriverUnload = (PDRIVER_UNLOAD)sub_104B0; return v3; } 上面的memset(DriverObject->MajorFunction, (int)sub_104E6, 0x6Cu);这句也就是把派遣函数设置成了这个样子： int __stdcall sub_104E6(int a1, PIRP Irp) { IofCompleteRequest(Irp, 0); return 0; } 小弟不解这个驱动是啥目的？ 2010-10-10 12:42 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 5 楼这个驱动没目的。。 2010-10-10 14:47 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼其实它是在逗你玩。 2010-10-10 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复