首页
社区
课程
招聘
[旧帖] [求助]驱动层ShellCode注入在DLL在win10下失效 0.00雪花
发表于: 2016-3-9 09:45 3171

[旧帖] [求助]驱动层ShellCode注入在DLL在win10下失效 0.00雪花

2016-3-9 09:45
3171
最近在做一个注入DLL的驱动, 目前能在XP32, Win7(32/64)非常稳定, 现在要增加对Win10(X64)的兼容. 原理大概是:
1. 通过PsSetLoadImageNotifyRoutine() 注册一个回调FuncA
2. FuncA中, 当gdi32.dll加载时, 获得入口地址, 找出空闲段的位置并写入ShellCode: SCA, 修改其入口地址到SCA所在位置
3. SCA中执法加载一个DLL, 加载完后跳转回原来的入口地址.

在Win10的表现:
1. 开机时自动运行驱动, 蓝屏, 估计是ShellCode导致系统进程无法正常运行.
2. 进入Win10(64位), 手动开启驱动, 64位的进程无法运行. 提示: 不支持的操作

问题1: 是否Win10(X64)对64位进程做了特殊的保护, 封死了这条路?
问题2: 如果此路不通, 还有什么驱动层注入方案可以取代? 要求注入快速, 杀软不拦截.
问题3: 各位大大有没有在Win10(X64)下, 驱动层成功注入的经验和代码可以分享一下?

感谢万分!!!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 39
活跃值: (57)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
哥唉,能把你win764位的代码放来学习一下?QQ:1229352057谢谢
2016-5-19 17:08
0
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
留下你QQ交换代码,我有在WIN10 x64注入的例子 稳定
2016-7-6 15:32
0
游客
登录 | 注册 方可回帖
返回
//