[讨论]绕过NDIS中间层驱动，有图有真相-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
b23526 雪币： 4581 活跃值： (942) 能力值： ( LV4，RANK：50 ) 在线值：发帖 348 回帖 1830 粉丝 4 关注私信	b23526 2011-9-26 13:15 2 楼 0 擦楼主开此贴要说明嘛 ?????
zhouws 雪币： 3019 活跃值： (1159) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 363 粉丝 6 关注私信	zhouws 2 2011-9-26 13:17 3 楼 0 楼主最爱虐待NDIS了。要不你做个NDIS下修改数据包的东东吧。要支持数据包大小任意改变啊。。
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-26 19:53 4 楼 0 原理很简单，就是做两个HOOK: 1、协议层HOOK Send , 将Hook Send直接发到miniport 2、MINIPORT HOOK RECV, 将数据直接丢到TCP协议驱动基本上通杀所以的基于Passthrough改改的东西
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2011-9-26 20:01 5 楼 0 没有那么复杂~imd和filter都是可以摘掉的~~~
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-26 20:08 6 楼 0 不知道你的说摘掉是断链还是怎么搞？我一开始是想调用UnBindHandler，还是老V是邪恶惯了，具体提示下嘛！
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-26 22:16 7 楼 0 。。重新复习一下各种BLOCK结构吧。显然直接摘链是可以实现的
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-27 08:05 8 楼 0 断链后好像网络就不通了吧？我测试虚拟机miniport上只有一个IMD，摘掉不就断网了？还是我理解错误？
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-27 20:38 9 楼 0 装了imd是有2个miniport的一个是真的，一个是imd的把tcpip绑到真实的那个网卡就行了啊
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-27 21:53 10 楼 0 好像不是的呢，我虚拟机上双网卡，tcpip都绑定到imd上去了！你调试看看哦
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-27 22:42 11 楼 0 imd绑了真的 tcpip绑了假的你把tcpip绑在真的上面就行了我这么说你懂了吧。。不过如果有2个imd 那谁绑了真的就不一定了。查block结构体可以知道哪个是真货~！
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2011-9-29 20:18 12 楼 0 MengXP也邪恶惯了啊~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (11)
b23526 雪币： 4581 活跃值： (942) 能力值： ( LV4，RANK：50 ) 在线值：发帖 348 回帖 1830 粉丝 4 关注私信	b23526 2011-9-26 13:15 2 楼 0 擦楼主开此贴要说明嘛 ?????
zhouws 雪币： 3019 活跃值： (1159) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 363 粉丝 6 关注私信	zhouws 2 2011-9-26 13:17 3 楼 0 楼主最爱虐待NDIS了。要不你做个NDIS下修改数据包的东东吧。要支持数据包大小任意改变啊。。
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-26 19:53 4 楼 0 原理很简单，就是做两个HOOK: 1、协议层HOOK Send , 将Hook Send直接发到miniport 2、MINIPORT HOOK RECV, 将数据直接丢到TCP协议驱动基本上通杀所以的基于Passthrough改改的东西
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2011-9-26 20:01 5 楼 0 没有那么复杂~imd和filter都是可以摘掉的~~~
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-26 20:08 6 楼 0 不知道你的说摘掉是断链还是怎么搞？我一开始是想调用UnBindHandler，还是老V是邪恶惯了，具体提示下嘛！
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-26 22:16 7 楼 0 。。重新复习一下各种BLOCK结构吧。显然直接摘链是可以实现的
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-27 08:05 8 楼 0 断链后好像网络就不通了吧？我测试虚拟机miniport上只有一个IMD，摘掉不就断网了？还是我理解错误？
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-27 20:38 9 楼 0 装了imd是有2个miniport的一个是真的，一个是imd的把tcpip绑到真实的那个网卡就行了啊
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2011-9-27 21:53 10 楼 0 好像不是的呢，我虚拟机上双网卡，tcpip都绑定到imd上去了！你调试看看哦
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 129 粉丝 4 关注私信	MengXP 2011-9-27 22:42 11 楼 0 imd绑了真的 tcpip绑了假的你把tcpip绑在真的上面就行了我这么说你懂了吧。。不过如果有2个imd 那谁绑了真的就不一定了。查block结构体可以知道哪个是真货~！
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2011-9-29 20:18 12 楼 0 MengXP也邪恶惯了啊~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复