[原创]无hook无patch 无自定义peloader 在内核加载执行驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

发表于: 2011-8-7 21:22 44171

[原创]无hook无patch 无自定义peloader 在内核加载执行驱动

cvcvxk

2011-8-7 21:22

44171

查看主题内容

收藏・87

免费・7

支持

最新回复 (60) ◀ 1 2 3 ▶
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 26 楼亲~~虽然不明白,但是...好厉害呀 2011-8-8 12:34 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 27 楼俺不会驱动，不过大家都喊厉害，俺也来围观一下奸情了。 2011-8-8 19:08 0
xss 雪币： 471 活跃值： (4073) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 28 楼膜拜V校.................... 2011-8-8 21:34 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 29 楼感谢v神啊，要蛋疼了不？亲！ 2011-8-8 23:28 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 30 楼玩具大侠又来丢玩具了，学习下！ 2011-8-9 08:19 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 31 楼赶快来给lz一脚，期待蛋疼 2011-8-9 09:30 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 32 楼支持淘宝体！！！ 2011-8-9 14:05 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 33 楼顶礼膜拜v校。。。 2011-8-9 15:09 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 34 楼有部分好像在那啥子NT源码看过，好熟悉滴，呵呵~~ 2011-8-9 15:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 35 楼曝光一下，某神秘物体使用的神秘方法检测是否存在杀毒软件（只判断是否有360，没有360就走下面的过程） ZwQuerySystemInfomation取出某物的base LoadLibraryEx+GetProAddress取出一堆东西~ 根据系统版本号如果是XP 2003则 ZwSystemDebugControl读某内存取出某数值~~修改填充物。其他系统则根据版本号构造填充物。然后RegSetValueKey修改某注册表某项的数值最后引发ms11-011的漏洞加载驱动文件\\??\\C:\\随机数字.dll~（无名壳，不知道驱动干啥的路过）在有360的时候，VMCODE一坨，没看懂~最后也加载起来上面那个驱动~ 2011-8-9 16:38 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 36 楼 V神神语菜鸟木看懂 2011-8-9 17:06 0
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 37 楼强大的V神支持哈 2011-8-9 21:53 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 38 楼这个代码风格好规整啊！ 2011-8-10 01:19 0
cogito 雪币： 320 活跃值： (283) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 40 粉丝 1 关注私信	cogito 39 楼貌似少了句ObDereferenceObject 2011-8-10 16:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 40 楼话说这个不用~ 2011-8-10 18:01 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 41 楼 bin, go! 2011-8-13 21:40 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 42 楼先mark再膜拜 2011-8-19 17:11 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 43 楼跟着牛前辈的脚步走 2011-8-19 22:47 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 44 楼好强大的驱动加载方式，不过有两处代码是不是V神的笔误阿 1. driverObject->DriverExtension = (PDRIVER_EXTENSION) (driverObject + 1) 这里的1应该是0x18把(指的是DriverExtension 在驱动对象结构体的偏移) 2. mov eax,driverObject mov eax,[eax+0x14] 这里不应该是mov 而是lea 吧取驱动程序内存区对象的地址把 mov ebx,[eax+0x34] 这里代码有点不明白就是将_LDT_DATA_TABLE_ENTRY 的成员flag第20位置1，为什么，代表什么意思，查了相关资料，没找到这个flag 标志位的具体意义，是驱动的标识位还是什么，多谢楼主答疑 2011-8-24 10:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 45 楼 driverObject 的类型是指针，指针+1，编译器转化~你懂得~ 后面那些都是为了设置一堆XX~ 2011-8-24 11:28 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 46 楼那么这个flag 也是随意设置的么驱动对象里面有个flag 标识是否是驱动，那么内存区对象的这个flag 能不能找到它的每个位的指定意义呢 2011-8-24 11:40 0
wowocock 雪币： 405 活跃值： (2295) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 47 楼那个标志位设置的好处，你从WRK里是看不到的，在 VISTA，win7, 靠他可以让猥琐驱动，做些微软本来不想让你做的事，嘿嘿。 2011-8-25 13:38 0
wowocock 雪币： 405 活跃值： (2295) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 48 楼哎，不要做什么WRK党了，多去逆向下WIN7的内核，惊喜无限啊。 2011-8-25 13:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 49 楼不用吧，直接逆VISTA的就行了，Win7和Vista主要是FS方面的变化很大~~内核感觉不是太大~~ 2011-8-25 15:31 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 50 楼不知道V大的蛋啥时候疼啊 2011-9-1 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) ◀ 1 2 3 ▶
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 26 楼亲~~虽然不明白,但是...好厉害呀 2011-8-8 12:34 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 27 楼俺不会驱动，不过大家都喊厉害，俺也来围观一下奸情了。 2011-8-8 19:08 0
xss 雪币： 471 活跃值： (4073) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 28 楼膜拜V校.................... 2011-8-8 21:34 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 29 楼感谢v神啊，要蛋疼了不？亲！ 2011-8-8 23:28 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 30 楼玩具大侠又来丢玩具了，学习下！ 2011-8-9 08:19 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 31 楼赶快来给lz一脚，期待蛋疼 2011-8-9 09:30 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 32 楼支持淘宝体！！！ 2011-8-9 14:05 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 33 楼顶礼膜拜v校。。。 2011-8-9 15:09 0
icezy 雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	icezy 34 楼有部分好像在那啥子NT源码看过，好熟悉滴，呵呵~~ 2011-8-9 15:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 35 楼曝光一下，某神秘物体使用的神秘方法检测是否存在杀毒软件（只判断是否有360，没有360就走下面的过程） ZwQuerySystemInfomation取出某物的base LoadLibraryEx+GetProAddress取出一堆东西~ 根据系统版本号如果是XP 2003则 ZwSystemDebugControl读某内存取出某数值~~修改填充物。其他系统则根据版本号构造填充物。然后RegSetValueKey修改某注册表某项的数值最后引发ms11-011的漏洞加载驱动文件\\??\\C:\\随机数字.dll~（无名壳，不知道驱动干啥的路过）在有360的时候，VMCODE一坨，没看懂~最后也加载起来上面那个驱动~ 2011-8-9 16:38 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 36 楼 V神神语菜鸟木看懂 2011-8-9 17:06 0
奘和雪币： 4902 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 37 楼强大的V神支持哈 2011-8-9 21:53 0
drummer 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	drummer 38 楼这个代码风格好规整啊！ 2011-8-10 01:19 0
cogito 雪币： 320 活跃值： (283) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 40 粉丝 1 关注私信	cogito 39 楼貌似少了句ObDereferenceObject 2011-8-10 16:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 40 楼话说这个不用~ 2011-8-10 18:01 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 41 楼 bin, go! 2011-8-13 21:40 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 42 楼先mark再膜拜 2011-8-19 17:11 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 43 楼跟着牛前辈的脚步走 2011-8-19 22:47 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 44 楼好强大的驱动加载方式，不过有两处代码是不是V神的笔误阿 1. driverObject->DriverExtension = (PDRIVER_EXTENSION) (driverObject + 1) 这里的1应该是0x18把(指的是DriverExtension 在驱动对象结构体的偏移) 2. mov eax,driverObject mov eax,[eax+0x14] 这里不应该是mov 而是lea 吧取驱动程序内存区对象的地址把 mov ebx,[eax+0x34] 这里代码有点不明白就是将_LDT_DATA_TABLE_ENTRY 的成员flag第20位置1，为什么，代表什么意思，查了相关资料，没找到这个flag 标志位的具体意义，是驱动的标识位还是什么，多谢楼主答疑 2011-8-24 10:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 45 楼 driverObject 的类型是指针，指针+1，编译器转化~你懂得~ 后面那些都是为了设置一堆XX~ 2011-8-24 11:28 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 46 楼那么这个flag 也是随意设置的么驱动对象里面有个flag 标识是否是驱动，那么内存区对象的这个flag 能不能找到它的每个位的指定意义呢 2011-8-24 11:40 0
wowocock 雪币： 405 活跃值： (2295) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 47 楼那个标志位设置的好处，你从WRK里是看不到的，在 VISTA，win7, 靠他可以让猥琐驱动，做些微软本来不想让你做的事，嘿嘿。 2011-8-25 13:38 0
wowocock 雪币： 405 活跃值： (2295) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 48 楼哎，不要做什么WRK党了，多去逆向下WIN7的内核，惊喜无限啊。 2011-8-25 13:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 49 楼不用吧，直接逆VISTA的就行了，Win7和Vista主要是FS方面的变化很大~~内核感觉不是太大~~ 2011-8-25 15:31 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 50 楼不知道V大的蛋啥时候疼啊 2011-9-1 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复