-
-
[分享]copy驱动文件
-
发表于: 2012-5-1 13:40
-
最近闲在家里,在玩网络游戏,此游戏用了Hackshield,但是Hackshield的驱动偶尔会造成蓝屏,估计是我的电脑上乱糟糟的东西装多了,有冲突吧,
想研究下驱动,但是驱动加载后会删除掉驱动文件,所以就写了一个小工具,复制一份驱动文件。
思路就是Hook MmLoadSystemImage,然后保存驱动文件到加载目录下。
NTSTATUS ntRet = STATUS_SUCCESS;
UNICODE_STRING uniCopyPath;
ntRet = RtlUpcaseUnicodeString( &uniCopyPath, puniFileName, TRUE );
if( NT_SUCCESS( ntRet ) )
{
*( (PWSTR)( (ULONG)uniCopyPath.Buffer + uniCopyPath.Length - sizeof(WCHAR) ) ) = L'B';
if( MyCopyFile( &uniCopyPath, puniFileName ) )
DbgPrint( "In Check_MmLoadSystemImage(), CopyFile(Src:{%ws},Dest:{%ws}) success...", puniFileName, &uniCopyPath );
else
DbgPrint( "In Check_MmLoadSystemImage(), CopyFile(Src:{%ws},Dest:{%ws}) failed...", puniFileName, &uniCopyPath );
RtlFreeUnicodeString( &uniCopyPath );
}
此驱动只在win7 32bit系统下有效,效果图
驱动文件
MoniDrivers.rar
想研究下驱动,但是驱动加载后会删除掉驱动文件,所以就写了一个小工具,复制一份驱动文件。
思路就是Hook MmLoadSystemImage,然后保存驱动文件到加载目录下。
NTSTATUS ntRet = STATUS_SUCCESS;
UNICODE_STRING uniCopyPath;
ntRet = RtlUpcaseUnicodeString( &uniCopyPath, puniFileName, TRUE );
if( NT_SUCCESS( ntRet ) )
{
*( (PWSTR)( (ULONG)uniCopyPath.Buffer + uniCopyPath.Length - sizeof(WCHAR) ) ) = L'B';
if( MyCopyFile( &uniCopyPath, puniFileName ) )
DbgPrint( "In Check_MmLoadSystemImage(), CopyFile(Src:{%ws},Dest:{%ws}) success...", puniFileName, &uniCopyPath );
else
DbgPrint( "In Check_MmLoadSystemImage(), CopyFile(Src:{%ws},Dest:{%ws}) failed...", puniFileName, &uniCopyPath );
RtlFreeUnicodeString( &uniCopyPath );
}
此驱动只在win7 32bit系统下有效,效果图
驱动文件
MoniDrivers.rar
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
360不会拦截有签名的驱动,并且我也没装那东西
od无法调试有些软件,比如360,微点,它们都有内核驱动保护的,需要去掉保护才行。  我这个驱动纯属偷懒,呵呵
|
|
|
|
|
|
|
|
|
学习了
|
|
|
|
|
|
|
