首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. ¥付费问答
    3. 发新帖
[旧帖] [原创]菜鸟的第一次驱动逆向[邀请码已发] 0.00雪花
2010-11-27 14:36 2919

[旧帖] [原创]菜鸟的第一次驱动逆向[邀请码已发] 0.00雪花

cppcoffee 活跃值
6
2010-11-27 14:36
2919
【文章标题】: 菜鸟的第一次驱动逆向(申请邀请码)
【文章作者】: Root
【作者邮箱】: cppcoffee@gmail.com
【作者QQ号】: 850128000
【下载地址】: 自己搜索下载
【编写语言】: VC9
【使用工具】: IDA
【操作平台】: Windows
【软件介绍】: 国内某防火墙的附带驱动
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  首先废话下,感谢KOMA大哥的一直鼓励,感谢megadeath前辈的教导,他让我明白了许多东西,无论是技术还是别的方面的。谢谢你们的陪伴
  
  嘿嘿,IDA初学,由于鄙人菜鸟无知,可能会有很多错误,还望各位高手多多指教
  最近由于兴趣原因在写个人防火墙,对国内某防火墙很向往,就找了个时间将它的附加驱动反汇编下,顺便学习下IDA的操作。
  注释并反成C,终于明白这个附加驱动的作用啦:
  在DriverEntry中查找未文档化的EPROCESS结构体保存的进程名称的偏移位置,并记录这个名字位置的偏移量。
  然后利用Hook ZwOpenProcess检测R3程序是否被调试,将偏移量的父进程的进程名称保存到缓冲区中,等待下次R3程序读取使用。
  
  不过发现这个驱动有两处毛病:
  1、对IRP_MJ_DEVICE_CONTROL的参数没进行检测,很可能被传递恶意的缓冲区或者NULL指针,将导致系统蓝屏。
  2、MyZwOpenProcess中的RtlUnicodeStringToAnsiString,第三个参数为TRUE,在此处分配了缓冲区,并没有被释放。
  
  嘿嘿,谢谢你们花时间看到这行文字。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2010年11月27日 14:31:29

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
点赞6
打赏
分享
最新回复 (14)
AntBean
雪    币: 611
活跃值: (251)
能力值: ( LV12,RANK:390 )
在线值:
发帖
回帖
粉丝
私信
AntBean 9 2010-11-27 14:42
2
0
貌似很给力。。。
komawang
雪    币: 263
活跃值: (128)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
komawang 2010-11-27 14:48
3
0
顶..
王旭峰
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
王旭峰 2010-11-27 14:51
4
0
终于年到你的文章了
lummar
雪    币: 292
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
lummar 2010-11-27 15:36
5
0
nice....
EvilKnight
雪    币: 330
活跃值: (597)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
EvilKnight 4 2010-11-27 15:40
6
0
呵呵,天网的防火墙呀...
寒冰心结
雪    币: 7464
活跃值: (2061)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
寒冰心结 2010-11-27 15:49
7
0
学习了..的确很好..

谢谢分享,
SER霸气
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
SER霸气 2010-11-27 16:07
8
0
好强大  来学习了
patapon
雪    币: 695
活跃值: (25)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
patapon 4 2010-11-27 16:16
9
0
不错,支持下
熊猫正正
雪    币: 2321
活跃值: (4028)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
熊猫正正 9 2010-11-27 16:49
10
0
谢谢分享
kxguibiao
雪    币: 27
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kxguibiao 2010-11-27 19:10
11
0
不错了,分享一下。
Droot
雪    币: 1159
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Droot 2010-11-27 19:19
12
0
好东西要顶!
cppcoffee
雪    币: 248
活跃值: (188)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
私信
cppcoffee 6 2010-11-29 09:43
13
0
自己顶一下.嘿嘿,斑竹,能给我个邀请码不?
LY汇编
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
LY汇编 2010-11-29 12:58
14
0
顶 一下  祝楼主能如愿
zpsemo
雪    币: 16
活跃值: (430)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
zpsemo 2010-12-13 13:11
15
0
我也在研究驱动  楼主的文章应该会有用
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回