[原创]Ndis的一些逆向，发现F5真不错-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Ndis的一些逆向，发现F5真不错

发表于: 2011-9-21 19:21 7196

[原创]Ndis的一些逆向，发现F5真不错

boywhp

2011-9-21 19:21

7196

对于想研究NDIS protcol以及miniport HOOK的可能会有点用，呵呵

一些备注code

/*
 * 通过搜索NdisIMInitializeDeviceInstanceEx的特征码获取ndisFindMiniportOnGlobalList函数地址
 */
static PVOID search_ndisFindMiniportOnGlobalList()
{
        int i;
        unsigned char* lpbuf;
        SYSTEM_MODULE_INFORMATION ndis_mod_info;
        //
        //search for ndisFindMiniportOnGlobalList from NdisIMInitializeDeviceInstanceEx
        //
        //f99b28a7 ff750c          push    dword ptr [ebp+0Ch]
        //f99b28aa e8b9210000      call    NDIS!ndisFindMiniportOnGlobalList (f99b4a68) 相对跳
        //

        if (!EnumSysModule("ndis.sys", &ndis_mod_info)){
                KdPrint(("!!!!Get NDIS Module Info failed!\n"));
                return NULL;
        }

        lpbuf = HelpGetProcAddress(ndis_mod_info.ImageBase, "NdisIMInitializeDeviceInstanceEx");
         
        KdPrint(("NdisIMInitializeDeviceInstanceEx:%x\n", lpbuf));

        for (i=0; i<100; i++){
                if (lpbuf[i] == 0xff
                        && lpbuf[i+1] == 0x75
                        && lpbuf[i+2] == 0x0c
                        && lpbuf[i+3] == 0xe8){
                        UINT offset;
                        lpbuf = lpbuf + i + 3;
                        offset = *((UINT*)(lpbuf+1));
                        //注意：e8 b9210000 = 5bytes!!! 
                        DbgPrint("ndisFindMiniportOnGlobalList:%x\n", lpbuf + offset + 5);                        
                        return lpbuf + offset + 5;
                }
        }
        return NULL;        
}

直接看我IDA逆向的函数吧：-）

int __stdcall NdisIMInitializeDeviceInstanceEx(_NDIS_M_DRIVER_BLOCK *DriverHandle, PCUNICODE_STRING DriverInstance, int DeviceContext)
{
  _NDIS_MINIPORT_BLOCK *_miniBlock; // eax@1
  _NDIS_MINIPORT_BLOCK *miniBlock; // esi@1
  int flags; // eax@2
  PDEVICE_OBJECT physicDevice; // ST10_4@7
  int Status; // [sp+20h] [bp+10h]@5

  ndisReferencePackage(&unk_1D040);
  KeWaitForSingleObject(&DriverHandle->IMStartRemoveMutex, 0, 0, 0, 0);
  _miniBlock = (_NDIS_MINIPORT_BLOCK *)[B]ndisFindMiniportOnGlobalList[/B](DriverInstance);
  miniBlock = _miniBlock;
  if ( _miniBlock && (flags = _miniBlock->PnPFlags, flags & 0x10000) && !(flags & 0x4010) )
  {
    if ( (unsigned __int8)ndisIsMiniportStarted(miniBlock) )
    {
      Status = 65539;
    }
    else
    {
      Status = ndisIMInitializeDeviceInstance(miniBlock, (PDEVICE_OBJECT)DeviceContext, 0);
      if ( Status )
      {
        physicDevice = (PDEVICE_OBJECT)miniBlock->PhysicalDeviceObject;
        BYTE1(miniBlock->PnPFlags) |= 1u;
        IoInvalidateDeviceState(physicDevice);
      }
    }
  }
  else
  {
    Status = ndisIMQueueDeviceInstance((int)DriverHandle, DriverInstance, DeviceContext);
  }
  KeReleaseMutex(&DriverHandle->IMStartRemoveMutex, 0);
  ndisDereferencePackage(&unk_1D040);
  return Status;
}

注意ndisFindMiniportOnGlobalList是一个非常好的函数：-) enjoy it
ndis.zip

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

ndis.zip （1.62MB，71次下载）

收藏・3

免费・0

支持

最新回复 (3)
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2 楼支持一下吧. 2011-9-21 20:20 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 3 楼赞。不错 .. 2011-10-8 13:40 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 4 楼赞~~~~~~~~ 2011-10-10 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

boywhp

发帖

595

回帖

750

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2 楼支持一下吧. 2011-9-21 20:20 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 3 楼赞。不错 .. 2011-10-8 13:40 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 4 楼赞~~~~~~~~ 2011-10-10 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复