首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]不知道该搜什么关键字,所以求助一个类似加壳的问题
发表于: 2013-3-22 17:54 6034

[求助]不知道该搜什么关键字,所以求助一个类似加壳的问题

birchgrove 活跃值
2013-3-22 17:54
6034
想将一个sys作为资源文件导入到exe中,然后执行的时候将sys文件释放到内存并加载,释放呈文件的话肯定会被报毒,释放到内存应该不会被报毒吧,可是不知道如何才能实现(C/C++)

或者有其他什么样的方法能达到加载sys驱动杀软不报毒的目的也请不吝赐教

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
loqich
雪    币: 952
活跃值: (1821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
....ring3想加载sys必须要求进入ring0
2013-3-22 18:46
0
birchgrove
雪    币: 14
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
什么意思?不懂呃,是不是这个不好实现啊
2013-3-22 19:06
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
4
在看雪里有篇文章讲得是加载驱动的三种方法,其中有种办法可以借鉴
1.ZwSetSystemInformation加载驱动,但不知映射名是否作为可用的参数,可以试试
2.先映射内存到内核,再通过MmLoadSystemImage加载,这个应该能接受映射名,而且前提要能调用内核函数进行映射,ring3调用非SSDT里的函数手段会比较流氓
2013-3-22 20:47
0
birchgrove
雪    币: 14
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
高深了,没太看懂。。。
2013-3-22 23:27
0
zhingma
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
权限级别,代码三层权限。
2013-3-23 09:23
0
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
7
意思就是说想不释放sys实现加载,就要把当作文件映射进行操作,但在R3这样的加载很繁琐
起码目前没公开或没人实现
2013-3-23 19:47
0
birchgrove
雪    币: 14
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
学习了。。。。
2013-3-24 00:40
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//