-
-
[分享]不小心看到系列:IFEO的另一个使用方式
-
发表于:
2018-5-24 16:51
16930
-
偶尔在一个新款ARK工具中看到
1)判断event和判断驱动(忽略)
2)加载驱动(驱动Callback没啥可说的,忽略)
3)写注册表,然后复制自己文件名为tools123.exe 启动tools123.exe。
该注册表导出如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tools123.exe]
"MitigationOptions"=hex(b):00,01,00,01,00,00,00,00
windows 10.0.17134.48 x64上tools123.exe再次启动后,针对tools123的注入各种姿势失败,大体上就是分配内存返回0xC0000604(STATUS_DYNAMIC_CODE_BLOCKED)(驱动callback已经摘掉)
猫腻出在EPROCESS的MitigationFlags上(ntos!PspReadIFEOMitigationOptions),有兴趣可以深入挖掘。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-5-24 16:52
被cvcvxk编辑
,原因: