[原创]重读老文章系列：驱动加载拦截的那几个事儿-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]重读老文章系列：驱动加载拦截的那几个事儿

发表于: 2012-7-28 21:08 13631

[原创]重读老文章系列：驱动加载拦截的那几个事儿

cvcvxk

活跃值

10

2012-7-28 21:08

13631

一般情况下，很多人喜欢拦截ZwLoadDriver,但是部分驱动，比如某些驱动不经过ZwLoadDriver
于是又有了hook MmLoadSystemImage，还有从DriverEntry通过call stack去做hook等等的方式。

其实实际上，一般的驱动加载基本上都经过LoadImageNotifyRoutine-->这个实际上可以满足大多数过滤，需求，而且比较稳定。（重要的是支持x64的patchguard啊~）
具体参看 http://technet.microsoft.com/zh-cn/ff559957%28v=vs.85%29
今天说的其实应该还有个IoRegisterBootDriverCallBack。。。一个深沉的物体只有win8才有~不过给力的功能啊~
MSDN里比较新颖的东西~有M$的标准例子哦~~
地址：
http://code.msdn.microsoft.com/ELAMSAMPLE-57962099/sourcecode?fileId=42726&pathId=465286878

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・26

免费・6

支持

分享

赞赏记录

参与人

雪币

留言

时间

伟叔叔

为你点赞~

2024-5-31 05:25

心游尘世外

为你点赞~

2024-5-31 02:12

QinBeast

为你点赞~

2024-5-31 02:05

飘零丶

为你点赞~

2024-3-29 04:58

shinratensei

为你点赞~

2024-1-31 01:58

PLEBFE

为你点赞~

2023-3-7 00:41

查看更多

最新回复 (18)
ugvjewxf 雪币： 615 活跃值： (750) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 359 粉丝 11 关注私信	ugvjewxf 2 楼顶了再看 2012-7-28 21:17 0
amyhaber 雪币： 127 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	amyhaber 3 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-7-28 21:20 0
小P孩儿雪币： 23 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 1 关注私信	小P孩儿 4 楼擦，校又来了 2012-7-28 23:08 0
莫灰灰雪币： 2481 活跃值： (2405) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 50 关注私信	莫灰灰 9 5 楼在回调里面做拦截，x64下是微软推荐的做法。 2012-7-29 13:30 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 6 楼 ELAM的话，avast应该支持了。 2012-7-29 14:44 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 7 楼弱弱的问一下，LoadImageNotifyRoutine这个只是一个异步的通知callback，怎么在里面做拦截呢 2012-8-1 17:13 0
莫灰灰雪币： 2481 活跃值： (2405) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 50 关注私信	莫灰灰 9 8 楼通知是同步的，你可以看下NtCreateProcess的实现。 2012-8-1 19:17 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 9 楼嗯，是同步的，可能我没表达清楚，简单说吧，在注册表的NotifyRoutine中，可以在Pre处理里拒绝注册表的操作，那么在LOAD_IMAGE_NOTIFY_ROUTINE 中，监控到驱动加载没有问题，怎样去拒绝驱动的加载，不能拒绝的话怎么拦截呢 2012-8-1 20:29 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 10 楼驱动的image是可以被改成无害的内容。你懂得？ 2012-8-1 20:51 0
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 11 楼 Patch~ 2012-8-1 20:55 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 12 楼这样啊，明白了 2012-8-2 09:13 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 13 楼这个回调函数的注册太特别了吧！ 2012-8-2 11:25 0
goddkiller 雪币： 485 活跃值： (108) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 14 楼哈哈~~~V校又爆了，此法取之于民，用之于民啊 2012-8-4 21:49 0
xlshn 雪币： 123 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 1 关注私信	xlshn 15 楼 M$ 是什么意思？ 2012-8-7 20:04 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 16 楼 mark 神父驱动加载拦 2012-8-7 20:57 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 17 楼这个回调函数的注册太特别了吧！ 2012-11-9 18:21 0
yimingqpa 雪币： 7080 活跃值： (4936) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 57 关注私信	yimingqpa 1 18 楼回调很好摘掉吧？驱动加载不上,内核的hook应用层没法弄吧？ 2012-11-9 19:17 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 19 楼果断握个爪~ 现在的淫们都被x86惯坏了 2012-11-20 18:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

cvcvxk

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区