首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[分享]我来说一下那个过签名LIB的原理(2014-05-09补充)
发表于: 2014-5-7 22:55 17165

[分享]我来说一下那个过签名LIB的原理(2014-05-09补充)

Delphic 活跃值
1
2014-5-7 22:55
17165
LIB的RING3部分代码,主要用于查找ci!g_CiOptions的地址,RING0部分代码呢,就是一个驱动,修改指定地址一个字节而已。

控制代码是0x800还是0x801、0x802就忘记了,反正差不多,感兴趣的朋友用IDA看一下就行。

至于驱动的签名,半年前就吊销了,所以我才放出来给大家玩。所以被RK作者利用一说,纯属无稽之谈,除非杀毒软件连签名性质都不会检查。

至于这个LIB是否原创呢?老实说,我是在一个朋友的指导下做的,而算不算他原创,我就不清楚了。

大概就说这么多了,本人胆小害怕吵架,所以基本不会在看雪发帖回帖。如果关于教程还有什么疑问请加群204267013,或者去www.vbasm.com上发帖询问。

各位,晚安。

2014-05-09补充:
上面的原理说得不太清楚,给出伪代码:
void DSE_OFF()
{
    输出签名驱动文件();
    加载签名驱动文件();
    获取ci!g_CiOptions的地址p();
    获取p的原始值();
    设置p的值为0();
}

void DSE_ON()
{
    恢复p的原始值();
    卸载签名驱动();
    删除驱动文件();
}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (10)
fujing
雪    币: 2865
活跃值: (3889)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
说得很好,讲得不错
2014-5-7 22:57
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这也被你扔出来了。。。。不过这玩意的关键在黑签名。。。。。
2014-5-7 23:00
0
nxtxfxsx
雪    币: 2
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
楼主真是太好人了,免费的东西比很多付费的教程都要好

估计楼主年纪还小,不知道网上的渣人实在太多,我见怪不怪了,钱都被骗了好几千
要是有人骂你,你当成狗叫就行,真心不必害怕,相信看雪上还是好人居多的
2014-5-8 08:31
0
誓言剑
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
不原本就是收费的么
2014-5-9 07:17
0
beebeejava
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
mark
2014-5-15 19:54
0
hbcld
雪    币: 43
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
Mark
2014-10-21 10:40
0
kuizut
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
赞...谢谢楼主分享...
2014-12-27 16:38
0
dayang
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
加载驱动的方式是???
为什么我用的过期签名加的驱动,用InstDrv.exe加载不上呢?
2014-12-27 16:56
0
elapseyear
雪    币: 326
活跃值: (56)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
10
原理看起来简单。
2015-1-29 11:34
0
ggggg
雪    币: 1754
活跃值: (923)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
不知道现在还有没有效果呢
2015-6-20 23:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//