[原创]自动获取驱动程序IO控制码初级版-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]自动获取驱动程序IO控制码初级版

发表于: 2012-7-27 17:22 12334

[原创]自动获取驱动程序IO控制码初级版

dragonltx

2012-7-27 17:22

12334

"""

Galaxy Security Lab Driver Analysis for IDA Pro

Author :dragonltx
Time :2012-7-27

"""
看了Justin的《Python灰帽子》的第十章，里面提到可以用Immunity Debugger来加载驱动，并通过driverlib来获取驱动程序的io控制码，遂用Immunity Debugger加载一个驱动试试，发现加载失败，于是给Justin发了封邮件，没鸟我。

后来想了想，既然是用Immunity Debugger静态分析驱动来获取驱动程序的io控制码，还不如用IDA来分析，于是有了这篇文章。本文给出的获取驱动程序的io控制码的脚本采用IDA Python，可以给IDA Python新手当作参考，高手略过。

一、获取驱动设备名

def getDeviceName():
    """
    Get Device Name from a driver. 
    @rtype:   void
    @returns: void
    """
    ea = 0
    while True:
     ea =  FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "\\\\Device\\\\")
     string = GetString(ea, -1, ASCSTR_UNICODE)
     if string is None:
        continue
     else:
        #Message("Find in %x\n" % ea)
        Message("device is %s\n" % string)
	break

def getDispatchAddress():
    """
    Get Device Dispatch Address from a driver. 
    @rtype:   int
    @returns: Dispatch Address
    """
    ea = 0
    ea =  FindText(ea,  SEARCH_DOWN |SEARCH_NEXT | SEARCH_REGEX, 0, 0, "mov *dword *ptr *\\[[a-zA-Z]* *\\+ *70h\\],[a-zA-Z0-9_ ]*")
    #ea =  FindText(ea, SEARCH_NEXT | SEARCH_REGEX, 0, 0, "test *[a-zA-Z]*, +[a-zA-Z]*")
    #Message("Find in %x\n" % ea)
    if ea == BADADDR:
        Message("Cann't find the Dispatch address")
        address = BADADDR
    else:
        address = GetOperandValue(ea,1)
        Message("Dispatch address is %x\n" % address)
	return address

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （23.46kb，343次下载）
2.png （160.98kb，342次下载）
3.png （41.13kb，341次下载）
4.png （89.61kb，335次下载）
5.png （112.14kb，341次下载）
6.png （4.74kb，337次下载）
7.png （47.15kb，340次下载）
8.png （44.39kb，339次下载）
9.png （44.31kb，334次下载）
10.png （5.44kb，337次下载）
11.png （16.64kb，337次下载）
GetIoctlCode.rar （1.16kb，145次下载）

收藏・12

免费・6

支持

最新回复 (10)
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 2 楼 switch的优化形式有很多,cmp比较只是最简单的一种,该脚本只能识别最简单的IOCTL. 之前有写过,效果不太好,可以转换一下思路. 另外感谢楼主分享. 2012-7-27 18:59 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 3 楼 mark IO控制码感谢楼主共享 2012-7-27 20:14 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 4 楼正在研究deviceIOControl机制感谢lz分享 2012-7-27 20:37 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 5 楼是这样的，Immunity Debugger里面的driverlib也只考虑了最简单的情况，这种单纯靠静态分析比较困难，只是分享下IDA Python的实例！哈哈！有兴趣的兄弟可以考虑继续优化！ 2012-7-27 20:47 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼 Python 2012-7-27 22:13 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 7 楼学习学习 python是个好东西 2012-7-27 23:02 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 8 楼学习，”似乎“很有用的方法 2012-8-4 18:00 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 9 楼可以考虑利用IDA的F5来做,会方便很多 2012-8-30 15:25 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼 mark马克￡ 2012-8-30 16:15 0
wngbx 雪币： 215 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wngbx 11 楼 python好强大,谢谢楼主分享 2020-11-30 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dragonltx

发帖

240

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 2 楼 switch的优化形式有很多,cmp比较只是最简单的一种,该脚本只能识别最简单的IOCTL. 之前有写过,效果不太好,可以转换一下思路. 另外感谢楼主分享. 2012-7-27 18:59 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 3 楼 mark IO控制码感谢楼主共享 2012-7-27 20:14 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 4 楼正在研究deviceIOControl机制感谢lz分享 2012-7-27 20:37 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 5 楼是这样的，Immunity Debugger里面的driverlib也只考虑了最简单的情况，这种单纯靠静态分析比较困难，只是分享下IDA Python的实例！哈哈！有兴趣的兄弟可以考虑继续优化！ 2012-7-27 20:47 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼 Python 2012-7-27 22:13 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 7 楼学习学习 python是个好东西 2012-7-27 23:02 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 8 楼学习，”似乎“很有用的方法 2012-8-4 18:00 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 9 楼可以考虑利用IDA的F5来做,会方便很多 2012-8-30 15:25 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼 mark马克￡ 2012-8-30 16:15 0
wngbx 雪币： 215 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wngbx 11 楼 python好强大,谢谢楼主分享 2020-11-30 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复