[原创]逆向小红伞杀毒软件--avkmgr-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]逆向小红伞杀毒软件--avkmgr

发表于: 2017-11-26 14:32 5358

[原创]逆向小红伞杀毒软件--avkmgr

Tennn

2017-11-26 14:32

5358

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT  DriverObject , _In_ PUNICODE_STRING RegistryPath) {

    UNICODE_STRING DeviceName={ 0 };
    PDEVICE_OBJECT DeviceObject={ 0 };
    UNREFERENCED_PARAMETER(RegistryPath);

    OSVERSIONINFOEXW os ={ 0 };
    os.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEXW);
    RtlGetVersion((POSVERSIONINFOW)&os);
    if (os.dwMajorVersion < 5 || os.dwMajorVersion == 5 && !os.dwMinorVersion) {
        return 0x0C0000002;
    }
    g_dwMajorVersion = os.dwMajorVersion;
    g_dwMinorVersion = os.dwMinorVersion;
    sub_140001718();
    avk_GetSystemRoutineAddress();
    func9();
    if (g_FunTable.sub_100) {
        g_FunTable.sub_100(sub_140001390 , 0);
    }
    else {
        g_FunTable.sub_F8(sub_14000130C , 0);
    }
    g_FunTable.sub_108(sub_140001414);
    g_FunTable.sub_110(sub_140001608);
    RtlInitUnicodeString(&DeviceName , avk_SystemRoutineName(0x3b));
    IoCreateDevice(DriverObject , 0 , &DeviceName , 0x22u , 0x100u , 0 , &DeviceObject);
    funcc.field_1C = 1;
    avk_IoErrorLog(L"avkmgr.sys successfully loaded" , 0x40070011 , DriverObject);
    return 0;
}

只保证编译通过...

获取系统版本
获取系统函数地址

获取系统版本

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・1

支持

最新回复 (2)
liucq 雪币： 102 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 103 粉丝 1 关注私信	liucq 2 楼拜见大神 2017-11-26 23:25 0
hbwazxf 雪币： 152 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 121 粉丝 0 关注私信	hbwazxf 3 楼大牛果然多.学习.... 2017-11-28 21:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Tennn

发帖

711

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
liucq 雪币： 102 活跃值： (462) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 103 粉丝 1 关注私信	liucq 2 楼拜见大神 2017-11-26 23:25 0
hbwazxf 雪币： 152 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 121 粉丝 0 关注私信	hbwazxf 3 楼大牛果然多.学习.... 2017-11-28 21:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复