[原创]重载内核新方法，避免SEH导致的蓝屏（不hook链表）-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 2 楼赞一个！ 2014-11-3 14:15 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼好猥琐的办法～借助操作系统的PELoader来做加载，完成其他的一些任务～不错～ 2014-11-3 14:25 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼 32位内核文件 OEP 改 xor eax,eax //返回STATUS_SUCCESS ret 8 再重新计算文件校验和填充即可 2014-11-3 14:47 0
ngdik 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ngdik 5 楼没错，就是这样 2014-11-3 14:51 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼不如注册一个ImageLoadNotify，在Notify里修改OEP，指向到你的SYS里，这样就可以在你的SYS里获取到内核文件的DriverObject，设置卸载例程。这样做就可以免去修正CheckSum的问题了 2014-11-3 15:19 0
ngdik 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ngdik 7 楼我直接用ObReferenceObjectByFileName获取，然后卸载，不需要注册 2014-11-3 15:23 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 8 楼原来可以这样啊，这不好简单啊 2014-11-3 16:18 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼思路很好，赞一个 2014-11-3 19:24 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼好思路~ 2014-11-3 20:48 0
枫清淡雪币： 8095 活跃值： (3969) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 11 楼好棒的思路！ 2014-11-3 21:12 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 12 楼 nt和win32k都是这么搞的么，楼Z 2014-12-12 23:45 0
小希希雪币： 1832 活跃值： (4055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 13 楼因为内存池无法加载SEH，所以如果调用函数有抛出异常，会蓝屏这个问题我重载内核没遇到过,SEH肯定有用，也会触发，没发现有蓝屏问题重载个PE文件很简单，重定位，输入表处理下就行了，估计难的是大家都再内核里重载，我是r3重载好了给内核 2014-12-20 20:03 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼么么哒,说好的双头龙呢 2014-12-22 21:36 0
virt 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	virt 15 楼 xpsp3下 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720 lkd> u NtReadVirtualMemory nt!NtReadVirtualMemory: 805b528a 6a1c push 1Ch 805b528c 68e8ae4d80 push offset nt!MmClaimParameterAdjustDownTime+0x90 (804daee8) 805b5291 e8ea78f8ff call nt!_SEH_prolog (8053cb80) 805b5296 64a124010000 mov eax,dword ptr fs:[00000124h] 805b529c 8bf8 mov edi,eax 805b529e 8a8740010000 mov al,byte ptr [edi+140h] 805b52a4 8845e0 mov byte ptr [ebp-20h],al 805b52a7 8b7514 mov esi,dword ptr [ebp+14h] lkd> u A43FF000+805b528a-804d8000 a44dc28a ?? ??? ^ Memory access error in 'u A43FF000+805b528a-804d8000 ' A43FF000为新加载的驱动基地址为什么　？？？？？ 2014-12-22 22:59 0
karennel 雪币： 21 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	karennel 16 楼耗掉。。。。。 2015-1-22 19:59 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 17 楼 2018-1-18 12:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 2 楼赞一个！ 2014-11-3 14:15 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼好猥琐的办法～借助操作系统的PELoader来做加载，完成其他的一些任务～不错～ 2014-11-3 14:25 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼 32位内核文件 OEP 改 xor eax,eax //返回STATUS_SUCCESS ret 8 再重新计算文件校验和填充即可 2014-11-3 14:47 0
ngdik 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ngdik 5 楼没错，就是这样 2014-11-3 14:51 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 6 楼不如注册一个ImageLoadNotify，在Notify里修改OEP，指向到你的SYS里，这样就可以在你的SYS里获取到内核文件的DriverObject，设置卸载例程。这样做就可以免去修正CheckSum的问题了 2014-11-3 15:19 0
ngdik 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ngdik 7 楼我直接用ObReferenceObjectByFileName获取，然后卸载，不需要注册 2014-11-3 15:23 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 8 楼原来可以这样啊，这不好简单啊 2014-11-3 16:18 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼思路很好，赞一个 2014-11-3 19:24 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼好思路~ 2014-11-3 20:48 0
枫清淡雪币： 8095 活跃值： (3969) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 11 楼好棒的思路！ 2014-11-3 21:12 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 12 楼 nt和win32k都是这么搞的么，楼Z 2014-12-12 23:45 0
小希希雪币： 1832 活跃值： (4055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 13 楼因为内存池无法加载SEH，所以如果调用函数有抛出异常，会蓝屏这个问题我重载内核没遇到过,SEH肯定有用，也会触发，没发现有蓝屏问题重载个PE文件很简单，重定位，输入表处理下就行了，估计难的是大家都再内核里重载，我是r3重载好了给内核 2014-12-20 20:03 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼么么哒,说好的双头龙呢 2014-12-22 21:36 0
virt 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	virt 15 楼 xpsp3下 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720 lkd> u NtReadVirtualMemory nt!NtReadVirtualMemory: 805b528a 6a1c push 1Ch 805b528c 68e8ae4d80 push offset nt!MmClaimParameterAdjustDownTime+0x90 (804daee8) 805b5291 e8ea78f8ff call nt!_SEH_prolog (8053cb80) 805b5296 64a124010000 mov eax,dword ptr fs:[00000124h] 805b529c 8bf8 mov edi,eax 805b529e 8a8740010000 mov al,byte ptr [edi+140h] 805b52a4 8845e0 mov byte ptr [ebp-20h],al 805b52a7 8b7514 mov esi,dword ptr [ebp+14h] lkd> u A43FF000+805b528a-804d8000 a44dc28a ?? ??? ^ Memory access error in 'u A43FF000+805b528a-804d8000 ' A43FF000为新加载的驱动基地址为什么　？？？？？ 2014-12-22 22:59 0
karennel 雪币： 21 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	karennel 16 楼耗掉。。。。。 2015-1-22 19:59 0
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 17 楼 2018-1-18 12:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复