[原创]驱动加载监控工具-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]驱动加载监控工具

发表于: 2011-1-9 12:53 18220

[原创]驱动加载监控工具

cppcoffee

2011-1-9 12:53

18220

【文章标题】: 驱动加载监控
【文章作者】: Root
【作者邮箱】: cppcoffee@gmail.com
【下载地址】: 附件
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  属于菜鸟作品，大牛请无视。
  由于某些恶意软件将驱动加载后为了避免留下痕迹,就将驱动文件删除.这个工具是用来复制将被删除的驱动文件以备用分析源码所用.
  流程如下：
  SYS模块

  应用程序

缺陷：只能监控正规驱动加载，如果用其他渠道就拦截不到了。
--------------------------------------------------------------------------------

                                                   2011年01月09日 12:47:01

登录后可查看完整内容

[注意]APP应用上架合规检测服务，协助应用顺利上架！

上传的附件：

驱动监控工具 by Root.rar （51.96kb，521次下载）
R3应用模块.jpg （36.15kb，1225次下载）
SYS模块.jpg （21.16kb，1225次下载）

收藏・16

免费・7

支持

最新回复 (25) 1 2 ▶
YangCoCol 雪币： 606 活跃值： (230) 能力值： ( LV11，RANK：180 ) 在线值：发帖 22 回帖 111 粉丝 6 关注私信	YangCoCol 3 2 楼很好~~~顶！ 2011-1-9 13:20 0
nomaster 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	nomaster 3 楼不错，蛮好用的 2011-1-9 13:51 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 4 楼楼主很专业啊，图片胜过言语，支持下 2011-1-9 15:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼这种情况我一般用HIPS搞定~~ 2011-1-9 19:50 0
zhanglb 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	zhanglb 6 楼 8错8错 2011-1-9 20:33 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 7 楼挂MmMapViewOfSection吧没人跑的了。。 2011-1-9 20:40 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 8 楼思路很清晰啊~ 2011-1-10 00:17 0
yjd 雪币： 2882 活跃值： (1331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 779 粉丝 1 关注私信	yjd 9 楼下载收藏。感谢提供。 2011-1-10 21:22 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 10 楼呵呵~~顶顶..好东西 2011-1-10 22:39 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 11 楼图一目了然，表达就该这样，学习。 2011-1-11 19:14 0
十年寒窗雪币： 197 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 12 楼顶，好好学习一下 2011-1-12 09:01 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 13 楼 HIPS搞定. 2011-1-12 10:53 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 14 楼代码规范一点就好了。 1，头文件中包含头文件，尤其是标准头文件，这点可以避免； 2，字符串操作上，使用一些deprecated函数，存在安全隐患。可以用RtlStringCcxxx或RtlStringCbcxxx系列的函数来代替； 3，给出源码，一定要简单说下编译环境。比如：HookLD，需要WDK7600才可以编译通过，其他版本的编译器6001,3790编译时会出现一堆问题；用户态程序，需要WTL库的支持... 呵呵，刚才又看了下代码，总体来说，已经不错了 2011-1-12 13:03 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 15 楼收藏 2011-1-13 09:58 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 16 楼 RPC 要拦截下 2011-1-13 11:00 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 17 楼谢谢microdebug大牛指出的缺点.嘿嘿,下次坚决改正过来,太谢谢你了.只有这样才能共同进步 2011-1-13 21:16 0
licyong 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	licyong 18 楼 xx了~呵呵 2011-1-15 18:50 0
kagayaki 雪币： 1993 活跃值： (5475) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1260 粉丝 25 关注私信	kagayaki 19 楼谢谢................. 2011-1-15 21:26 0
xjhma 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	xjhma 20 楼学习下啦，哈哈，多谢 2011-1-17 10:24 0
cedarlotus 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	cedarlotus 21 楼收藏，学习了！ 2011-1-18 23:21 0
逍遥忘我雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	逍遥忘我 22 楼收藏了，蛮有用的。 PS: 有个函数叫 PsSetLoadImageNotifyRoutine。 WRK里可以看到是在 MmLoadSystemImage 里触发的回调。所以应该也是可以拦截到驱动加载的，至于拦截的到DLL加载不就不知道了。 2011-1-19 18:11 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 23 楼为什么编译通过了点开始会显示初始化失败呢 2011-1-19 20:04 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 24 楼确保驱动文件跟EXE在同一个目录,并且驱动文件的名字是HookLD.sys 2011-1-27 09:12 0
为个润雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	为个润 25 楼图一目了然，表达就该这样，学习。 2011-1-27 09:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cppcoffee

发帖

回帖

300

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
YangCoCol 雪币： 606 活跃值： (230) 能力值： ( LV11，RANK：180 ) 在线值：发帖 22 回帖 111 粉丝 6 关注私信	YangCoCol 3 2 楼很好~~~顶！ 2011-1-9 13:20 0
nomaster 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	nomaster 3 楼不错，蛮好用的 2011-1-9 13:51 0
Cryin 雪币： 241 活跃值： (235) 能力值： ( LV13，RANK：240 ) 在线值：发帖 17 回帖 69 粉丝 2 关注私信	Cryin 4 4 楼楼主很专业啊，图片胜过言语，支持下 2011-1-9 15:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼这种情况我一般用HIPS搞定~~ 2011-1-9 19:50 0
zhanglb 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	zhanglb 6 楼 8错8错 2011-1-9 20:33 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 7 楼挂MmMapViewOfSection吧没人跑的了。。 2011-1-9 20:40 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 8 楼思路很清晰啊~ 2011-1-10 00:17 0
yjd 雪币： 2882 活跃值： (1331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 779 粉丝 1 关注私信	yjd 9 楼下载收藏。感谢提供。 2011-1-10 21:22 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 10 楼呵呵~~顶顶..好东西 2011-1-10 22:39 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 11 楼图一目了然，表达就该这样，学习。 2011-1-11 19:14 0
十年寒窗雪币： 197 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 146 粉丝 2 关注私信	十年寒窗 12 楼顶，好好学习一下 2011-1-12 09:01 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 13 楼 HIPS搞定. 2011-1-12 10:53 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 14 楼代码规范一点就好了。 1，头文件中包含头文件，尤其是标准头文件，这点可以避免； 2，字符串操作上，使用一些deprecated函数，存在安全隐患。可以用RtlStringCcxxx或RtlStringCbcxxx系列的函数来代替； 3，给出源码，一定要简单说下编译环境。比如：HookLD，需要WDK7600才可以编译通过，其他版本的编译器6001,3790编译时会出现一堆问题；用户态程序，需要WTL库的支持... 呵呵，刚才又看了下代码，总体来说，已经不错了 2011-1-12 13:03 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 15 楼收藏 2011-1-13 09:58 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 16 楼 RPC 要拦截下 2011-1-13 11:00 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 17 楼谢谢microdebug大牛指出的缺点.嘿嘿,下次坚决改正过来,太谢谢你了.只有这样才能共同进步 2011-1-13 21:16 0
licyong 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	licyong 18 楼 xx了~呵呵 2011-1-15 18:50 0
kagayaki 雪币： 1993 活跃值： (5475) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1260 粉丝 25 关注私信	kagayaki 19 楼谢谢................. 2011-1-15 21:26 0
xjhma 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	xjhma 20 楼学习下啦，哈哈，多谢 2011-1-17 10:24 0
cedarlotus 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	cedarlotus 21 楼收藏，学习了！ 2011-1-18 23:21 0
逍遥忘我雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	逍遥忘我 22 楼收藏了，蛮有用的。 PS: 有个函数叫 PsSetLoadImageNotifyRoutine。 WRK里可以看到是在 MmLoadSystemImage 里触发的回调。所以应该也是可以拦截到驱动加载的，至于拦截的到DLL加载不就不知道了。 2011-1-19 18:11 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 23 楼为什么编译通过了点开始会显示初始化失败呢 2011-1-19 20:04 0
cppcoffee 雪币： 248 活跃值： (188) 能力值： ( LV12，RANK：300 ) 在线值：发帖 11 回帖 51 粉丝 3 关注私信	cppcoffee 6 24 楼确保驱动文件跟EXE在同一个目录,并且驱动文件的名字是HookLD.sys 2011-1-27 09:12 0
为个润雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	为个润 25 楼图一目了然，表达就该这样，学习。 2011-1-27 09:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复