首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]写了个过滤ZwDeviceIoControlFile和ZwFsControlFile的小工具
发表于: 2013-2-1 17:26 11752

[原创]写了个过滤ZwDeviceIoControlFile和ZwFsControlFile的小工具

futosky 活跃值
3
2013-2-1 17:26
11752
用IDA看一些EXE文件和驱动,会发现很多DeviceIoControl的调用,有时候对一些IOCTL_CODE的作用不甚明白,而下断点又不准确,于是就写了个小工具过滤一下

SSDT HOOK 了 ZwDeviceIoControlFile 和 ZwFsControlFile

输入待过滤的进程和IOCTL_CODE

得到过滤信息

缓冲区大小、地址、内容(处理的不好)

目标文件对象、设备对象、驱动对象和对象名

由于偷了懒,需要用monitor.exe加载   DebugView或Windbg查看输出

必须进程名和CODE都输入才可过滤,有兴趣的可以在上面进行修改

[课程]FART 脱壳王!加量不加价!FART作者讲授!

上传的附件:
收藏
免费 6
支持
分享
最新回复 (6)
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
2
嗯,很有意思的东西,如果再增加支持输入输出的加密解密算法外部插件的话,就更好了~
沙发走人~
2013-2-1 18:57
0
futosky
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
私信
3
多谢V大~~
2013-2-1 20:47
0
学雄
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
4
虽然ssdthook被玩烂了,不过还是得鼓励一下~~~~
2013-2-2 07:05
0
tzl
雪    币: 219
活跃值: (1634)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
5
思路很好,不错的工具
2013-2-2 20:19
0
futosky
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
私信
6
根据V大建议改写中~~~不过插件采用什么形式好呢?不太会啊。。。DLL行么?
2013-2-3 15:52
0
bxb
雪    币: 1085
活跃值: (250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
bxb
7
来学习过了
2018-11-25 23:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//