[原创]逆向火绒安全软件驱动--sysdiag-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]逆向火绒安全软件驱动--sysdiag

发表于: 2017-10-3 16:12 13016

[原创]逆向火绒安全软件驱动--sysdiag

Tennn

2017-10-3 16:12

13016

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT  DriverObject , _In_ PUNICODE_STRING RegistryPath) {
    NTSTATUS status = 0;

#ifdef DBG
    __debugbreak();
    PRINT_INFO;
#else
    PRINT_INFO;
#endif // DBG

    //  不支持xp以下版本
    if ((USHORT)NtBuildNumber < 0xa28) {
        return 0xC00000BB;
    }

    g_sysdiag.v_580 = &g_sysdiag.v_580;
    g_sysdiag.v_588 = &g_sysdiag.v_580;
    g_sysdiag.v_dd8 = &g_sysdiag.v_dd8;
    g_sysdiag.v_de0 = &g_sysdiag.v_dd8;
    g_sysdiag.v_1208 = &g_sysdiag.v_1208;
    g_sysdiag.v_1210 = &g_sysdiag.v_1208;
    g_sysdiag.v_1638 = &g_sysdiag.v_1638;
    g_sysdiag.v_1640 = &g_sysdiag.v_1638;
    g_sysdiag.v_1a68 = &g_sysdiag.v_1a68;
    g_sysdiag.v_1a70 = &g_sysdiag.v_1a68;
    g_sysdiag.v_1e90 = &g_sysdiag.v_1e90;
    g_sysdiag.v_1e98 = &g_sysdiag.v_1e90;
    g_sysdiag.v_1ea0 = &g_sysdiag.v_1ea0;
    g_sysdiag.v_1ea8 = &g_sysdiag.v_1ea0;
    g_sysdiag.v_1eb0 = &g_sysdiag.v_1eb0;
    g_sysdiag.v_1eb8 = &g_sysdiag.v_1eb0;


    //获取当前正在运行的操作系统例程返回版本信息
    //初始化6个读写锁
    //初始化2个资源变量。
    g_sysdiag.rtl_osversioninfoexw.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOEXW);
    if (RtlGetVersion((PRTL_OSVERSIONINFOW) &g_sysdiag.rtl_osversioninfoexw) < 0)
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_168);
    g_sysdiag.nrl_flag_160.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_160.flag_0 & 1))
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_598);
    g_sysdiag.nrl_flag_590.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_590.flag_0 & 1))
        return 0xC0000001;
    g_sysdiag.eres_flag_9b8.flag_0 &= 0xFDu;
    g_sysdiag.eres_flag_9b8.flag_0 = g_sysdiag.eres_flag_9b8.flag_0 & 0xFE | (ExInitializeResourceLite(&g_sysdiag.eresource_9c0) >= 0);
    if (!(g_sysdiag.eres_flag_9b8.flag_0 & 1))
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_df0);
    g_sysdiag.nrl_flag_de8.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_de8.flag_0 & 1))
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_1220);
    g_sysdiag.nrl_flag_1218.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_1218.flag_0 & 1))
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_1658);
    g_sysdiag.nrl_flag_1650.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_1650.flag_0 & 1))
        return 0xC0000001;
    g_sysdiag.eres_flag_1a78.flag_0 &= 0xFDu;
    g_sysdiag.eres_flag_1a78.flag_0 = g_sysdiag.eres_flag_1a78.flag_0 & 0xFE | (ExInitializeResourceLite(&g_sysdiag.eresource_1a80) >= 0);
    if (!(g_sysdiag.eres_flag_1a78.flag_0 & 1))
        return 0xC0000001;
    NdisInitializeReadWriteLock(&g_sysdiag.ndis_rw_lock_1ec8);
    g_sysdiag.nrl_flag_1ec0.flag_0 |= 3u;
    if (!(g_sysdiag.nrl_flag_1ec0.flag_0 & 1))
        return 0xC0000001;

    g_sysdiag.pdriver_object_8 = DriverObject;
    g_sysdiag.ppdriver_object_0 = &DriverObject;


    PINIT_LIST list = g_LT;
    int IoRegister_flag = 0;
    int unload_flag = 1;
    if (list) {
        for (; list->pnext_list;) {
            status = list->pnext_ft->subA(list->pnext_ft , DriverObject , RegistryPath);
            if (status < 0) {
                //退出清理
                hr_ExitCleaner(DriverObject);
                return unload_flag ? status : 0;
            }
            IoRegister_flag = list->pnext_ft->v_10 ? 1 : IoRegister_flag;
            unload_flag = list->pnext_ft->subB ? unload_flag : 0;
            list = list->pnext_list;
        }
    }

    for (int i = 0; i < 28; i++) {
        DriverObject->MajorFunction[i] = hr_driver_dispatch;
    }
    if (unload_flag) {
        DriverObject->DriverUnload = hr_driver_unload;
    }
    if (IoRegister_flag) {
        IoRegisterBootDriverReinitialization(DriverObject , hr_BootDriverReinitialization , (PVOID) 0x424F4F54);
        IoRegisterDriverReinitialization(DriverObject , hr_DriverReinitialization , NULL);
    }
    g_sysdiag.ppdriver_object_0 = NULL;
    return status;
}

只保证编译通过...

and more...

排除xp以下版本
获取当前正在运行的操作系统例程返回版本信息
初始化6个Ndis读写锁
初始化2个资源变量
注册卸载和分发函数
待逆...

and more...

排除xp以下版本

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・19

免费・2

支持

最新回复 (17)
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 2 楼 todo 1. 被吞了 markdown有点问题语法:~~ XXXXXXXX~~ 2017-10-3 16:15 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 1 关注私信	污师 2 3 楼想准备逆来着, 没想到已有大神逆了 2017-10-3 16:50 0
我是哥布林雪币： 766 活跃值： (2369) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 4 楼 mark 2017-10-3 18:13 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 5 楼太支持了。 2017-10-3 20:48 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么 2017-10-3 21:36 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 7 楼 hzqst 之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么待我逆完就知道了... 2017-10-4 11:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 hzqst 之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么 hook jmp 改成远跳，用E9是会炸的，对于早期启动的几个系统进程，notify时的ntdll的基址不是最终基址... api调用改成gs取ldr取ntdll的基址，然后hash搜索api调用，就ok。仅仅是xxxx.exe这些早期启动的系统进程需要，不过我怀疑他们可能直接放过对早期系统进程注入... 2017-10-4 11:20 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 9 楼 hook jmp 改成远跳，用E9是会炸的.为什么？ 2017-10-6 05:59 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 10 楼无法学习，只能膜拜 2017-10-6 08:49 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 11 楼无法学习，只能膜拜 2017-10-6 08:49 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 12 楼楼主很厉害啊。 2017-10-10 09:18 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 13 楼 ugvjewxf hook jmp 改成远跳，用E9是会炸的.为什么？没为什么，offset超过4GB了应该用mov rax, XXX + jmp rax来代替 2017-10-10 09:37 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 14 楼寧靜致遠楼主很厉害啊。在座的各位都是大佬。。。 2017-10-10 20:52 0
dragonwang 雪币： 113 活跃值： (76) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	dragonwang 15 楼加油。有没有人逆pchunter这么经典的东东，应该是加过壳 2017-10-16 18:09 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 16 楼怪不得盖中盖 2017-12-14 03:19 0
风沙QAQ 雪币： 443 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	风沙QAQ 17 楼您好，我想请问一下GitHub上的代码是不是并不是完整的代码 2019-5-22 15:19 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 18 楼 mark 2019-5-22 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Tennn

发帖

711

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 2 楼 todo 1. 被吞了 markdown有点问题语法:~~ XXXXXXXX~~ 2017-10-3 16:15 0
污师雪币： 436 活跃值： (111) 能力值： ( LV7，RANK：110 ) 在线值：发帖 5 回帖 22 粉丝 1 关注私信	污师 2 3 楼想准备逆来着, 没想到已有大神逆了 2017-10-3 16:50 0
我是哥布林雪币： 766 活跃值： (2369) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 90 粉丝 1 关注私信	我是哥布林 4 楼 mark 2017-10-3 18:13 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 5 楼太支持了。 2017-10-3 20:48 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么 2017-10-3 21:36 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 7 楼 hzqst 之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么待我逆完就知道了... 2017-10-4 11:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼 hzqst 之前逆了一下早期注入，之前的版本说是跟Win10ASLR会冲突导致开机黑屏，最近又修好了，不知道他们改了什么 hook jmp 改成远跳，用E9是会炸的，对于早期启动的几个系统进程，notify时的ntdll的基址不是最终基址... api调用改成gs取ldr取ntdll的基址，然后hash搜索api调用，就ok。仅仅是xxxx.exe这些早期启动的系统进程需要，不过我怀疑他们可能直接放过对早期系统进程注入... 2017-10-4 11:20 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 9 楼 hook jmp 改成远跳，用E9是会炸的.为什么？ 2017-10-6 05:59 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 10 楼无法学习，只能膜拜 2017-10-6 08:49 0
小小的心雪币： 408 活跃值： (156) 能力值： ( LV7，RANK：110 ) 在线值：发帖 12 回帖 193 粉丝 2 关注私信	小小的心 2 11 楼无法学习，只能膜拜 2017-10-6 08:49 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 12 楼楼主很厉害啊。 2017-10-10 09:18 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 13 楼 ugvjewxf hook jmp 改成远跳，用E9是会炸的.为什么？没为什么，offset超过4GB了应该用mov rax, XXX + jmp rax来代替 2017-10-10 09:37 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 14 楼寧靜致遠楼主很厉害啊。在座的各位都是大佬。。。 2017-10-10 20:52 0
dragonwang 雪币： 113 活跃值： (76) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	dragonwang 15 楼加油。有没有人逆pchunter这么经典的东东，应该是加过壳 2017-10-16 18:09 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 16 楼怪不得盖中盖 2017-12-14 03:19 0
风沙QAQ 雪币： 443 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	风沙QAQ 17 楼您好，我想请问一下GitHub上的代码是不是并不是完整的代码 2019-5-22 15:19 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 18 楼 mark 2019-5-22 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复