[讨论]绕过NDIS中间层驱动，有图有真相-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼擦楼主开此贴要说明嘛 ????? 2011-9-26 13:15 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼楼主最爱虐待NDIS了。要不你做个NDIS下修改数据包的东东吧。要支持数据包大小任意改变啊。。 2011-9-26 13:17 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 4 楼原理很简单，就是做两个HOOK: 1、协议层HOOK Send , 将Hook Send直接发到miniport 2、MINIPORT HOOK RECV, 将数据直接丢到TCP协议驱动基本上通杀所以的基于Passthrough改改的东西 2011-9-26 19:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 5 楼没有那么复杂~imd和filter都是可以摘掉的~~~ 2011-9-26 20:01 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 6 楼不知道你的说摘掉是断链还是怎么搞？我一开始是想调用UnBindHandler，还是老V是邪恶惯了，具体提示下嘛！ 2011-9-26 20:08 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 7 楼。。重新复习一下各种BLOCK结构吧。显然直接摘链是可以实现的 2011-9-26 22:16 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 8 楼断链后好像网络就不通了吧？我测试虚拟机miniport上只有一个IMD，摘掉不就断网了？还是我理解错误？ 2011-9-27 08:05 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 9 楼装了imd是有2个miniport的一个是真的，一个是imd的把tcpip绑到真实的那个网卡就行了啊 2011-9-27 20:38 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 10 楼好像不是的呢，我虚拟机上双网卡，tcpip都绑定到imd上去了！你调试看看哦 2011-9-27 21:53 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 11 楼 imd绑了真的 tcpip绑了假的你把tcpip绑在真的上面就行了我这么说你懂了吧。。不过如果有2个imd 那谁绑了真的就不一定了。查block结构体可以知道哪个是真货~！ 2011-9-27 22:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼 MengXP也邪恶惯了啊~ 2011-9-29 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 2 楼擦楼主开此贴要说明嘛 ????? 2011-9-26 13:15 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼楼主最爱虐待NDIS了。要不你做个NDIS下修改数据包的东东吧。要支持数据包大小任意改变啊。。 2011-9-26 13:17 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 4 楼原理很简单，就是做两个HOOK: 1、协议层HOOK Send , 将Hook Send直接发到miniport 2、MINIPORT HOOK RECV, 将数据直接丢到TCP协议驱动基本上通杀所以的基于Passthrough改改的东西 2011-9-26 19:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 5 楼没有那么复杂~imd和filter都是可以摘掉的~~~ 2011-9-26 20:01 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 6 楼不知道你的说摘掉是断链还是怎么搞？我一开始是想调用UnBindHandler，还是老V是邪恶惯了，具体提示下嘛！ 2011-9-26 20:08 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 7 楼。。重新复习一下各种BLOCK结构吧。显然直接摘链是可以实现的 2011-9-26 22:16 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 8 楼断链后好像网络就不通了吧？我测试虚拟机miniport上只有一个IMD，摘掉不就断网了？还是我理解错误？ 2011-9-27 08:05 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 9 楼装了imd是有2个miniport的一个是真的，一个是imd的把tcpip绑到真实的那个网卡就行了啊 2011-9-27 20:38 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 10 楼好像不是的呢，我虚拟机上双网卡，tcpip都绑定到imd上去了！你调试看看哦 2011-9-27 21:53 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 11 楼 imd绑了真的 tcpip绑了假的你把tcpip绑在真的上面就行了我这么说你懂了吧。。不过如果有2个imd 那谁绑了真的就不一定了。查block结构体可以知道哪个是真货~！ 2011-9-27 22:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼 MengXP也邪恶惯了啊~ 2011-9-29 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复