-
-
[旧帖]
[求助]驱动层ShellCode注入在DLL在win10下失效
0.00雪花
-
发表于:
2016-3-9 09:45
3171
-
[旧帖] [求助]驱动层ShellCode注入在DLL在win10下失效
0.00雪花
最近在做一个注入DLL的驱动, 目前能在XP32, Win7(32/64)非常稳定, 现在要增加对Win10(X64)的兼容. 原理大概是:
1. 通过PsSetLoadImageNotifyRoutine() 注册一个回调FuncA
2. FuncA中, 当gdi32.dll加载时, 获得入口地址, 找出空闲段的位置并写入ShellCode: SCA, 修改其入口地址到SCA所在位置
3. SCA中执法加载一个DLL, 加载完后跳转回原来的入口地址.
在Win10的表现:
1. 开机时自动运行驱动, 蓝屏, 估计是ShellCode导致系统进程无法正常运行.
2. 进入Win10(64位), 手动开启驱动, 64位的进程无法运行. 提示: 不支持的操作
问题1: 是否Win10(X64)对64位进程做了特殊的保护, 封死了这条路?
问题2: 如果此路不通, 还有什么驱动层注入方案可以取代? 要求注入快速, 杀软不拦截.
问题3: 各位大大有没有在Win10(X64)下, 驱动层成功注入的经验和代码可以分享一下?
感谢万分!!!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
