[原创]某被外挂用烂了的读写驱动样本全逆向+功能分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某被外挂用烂了的读写驱动样本全逆向+功能分析

发表于: 2018-6-8 15:54 42991

[原创]某被外挂用烂了的读写驱动样本全逆向+功能分析

hzqst

2018-6-8 15:54

42991

查看主题内容

收藏・185

免费・15

支持

打赏 + 6.00雪花

一位没有留下痕迹的看雪读者

killpy

打赏次数 2

雪花 + 6.00

一位没有留下痕迹的看雪读者	+5.00	2018/09/06
killpy	+1.00	2018/06/14

最新回复 (73) ◀ 1 2 3 ▶
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 26 楼厉害。 2018-6-9 12:19 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 28 楼 2018-6-10 13:28 0
xjj 雪币： 286 活跃值： (57) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 29 楼 2018-6-11 11:24 0
FaEry 雪币： 5039 活跃值： (2591) 能力值： ( LV12，RANK：290 ) 在线值：发帖 13 回帖 90 粉丝 122 关注私信	FaEry 6 30 楼拿到样本就等于拿到源码了，感谢大表哥 2018-6-11 12:38 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 31 楼做这行，不加壳，就跟交源码一样～ 2018-6-12 10:13 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 32 楼顶楼上 2018-6-12 10:36 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 33 楼顶一下，期待能看懂的一天 2018-6-13 08:40 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 34 楼表哥 2018-6-13 10:27 0
halfface 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	halfface 35 楼很不错，谢谢了。 2018-6-13 10:27 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 36 楼这个外挂有效了几个月呢？ 2018-6-13 11:08 0
ricroon 雪币：活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	ricroon 37 楼感谢，对外挂很有兴趣，慢慢研究 2018-6-13 20:11 0
noinoinoi 雪币： 15 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 71 粉丝 0 关注私信	noinoinoi 38 楼感谢楼主分享，研究下 2018-6-14 08:43 0
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 39 楼 hzqst 代理表示：拉闸？不存在的。我们百万驱动+引擎绘制+独立特征一人一马你蓝洞拿头检测？封号都是人工检测或者同行举报，蓝洞临时工7天24小时64块4k大屏幕人肉分析把你们安排上了  ... 看着很牛。不过暂时还是看不懂。是不是先得看汇编。后看驱动编程。再看逆向才能看得懂？大神 2018-6-14 11:22 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 40 楼文章不错这个样本我之前分析过心烦放弃了看了一遍思路真不错他这个读写思路还是管用得至于保护进程内存不被扫描这方法肯定不行了 2018-6-14 12:23 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 41 楼有个问题必须是fs_rec.sys吗其他的系统驱动也应该可以为啥我自己的驱动注册image加载回调启动dxf 根本进不来呢我猜测是tp内核拦截了但是为啥fs_rec.sys的回调就可以进去呢 ?我猜测是 tp 遍历所有回调地址发现所在的模块不属于白名单就G了最后于 2018-6-14 21:59 被killpy编辑，原因： 2018-6-14 21:49 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 42 楼 killpy 有个问题    必须是fs_rec.sys吗    其他的系统驱动也应该可以  为啥我自己的驱动&nb ... 自己随便写个镜像回调DXF可以进来啊，你的代码不对吧 fs_rec只是随便找的一个没什么人关注的驱动空间吧，实际上beep.sys null.sys都可以利用的。（而且确实有人利用了，样本我就不放了）最后于 2018-6-15 09:33 被hzqst编辑，原因： 2018-6-15 09:15 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 43 楼 hzqst killpy 有个问题&nbsp; &nbsp; 必须是fs_rec.sys吗&nbsp; & ... 这个驱动在pubg上主要是拉闸于创建设备通信，使用WskSocket就不拉闸。至于我大TP，这种手段早就被安排的明明白白。最后于 2018-6-16 12:22 被cvcvxk编辑，原因： 2018-6-16 12:22 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 44 楼顶 2018-6-17 10:27 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 45 楼这么厉害的吗 2018-7-22 14:32 0
黑洛雪币： 6124 活跃值： (4476) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 46 楼很有时间系列。 2018-7-27 01:09 0
niuzuoquan 雪币： 310 活跃值： (2232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 47 楼 mark 2018-7-30 16:14 0
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 48 楼 mark 2018-7-31 08:29 0
bxb 雪币： 1085 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	bxb 49 楼感觉现在套路真多 2018-9-4 16:30 0
你的香气雪币： 328 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	你的香气 50 楼 mark, 感谢楼主分享。 2018-10-8 15:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (73) ◀ 1 2 3 ▶
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 26 楼厉害。 2018-6-9 12:19 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 28 楼 2018-6-10 13:28 0
xjj 雪币： 286 活跃值： (57) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 29 楼 2018-6-11 11:24 0
FaEry 雪币： 5039 活跃值： (2591) 能力值： ( LV12，RANK：290 ) 在线值：发帖 13 回帖 90 粉丝 122 关注私信	FaEry 6 30 楼拿到样本就等于拿到源码了，感谢大表哥 2018-6-11 12:38 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 31 楼做这行，不加壳，就跟交源码一样～ 2018-6-12 10:13 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 32 楼顶楼上 2018-6-12 10:36 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 33 楼顶一下，期待能看懂的一天 2018-6-13 08:40 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 34 楼表哥 2018-6-13 10:27 0
halfface 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	halfface 35 楼很不错，谢谢了。 2018-6-13 10:27 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 36 楼这个外挂有效了几个月呢？ 2018-6-13 11:08 0
ricroon 雪币：活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	ricroon 37 楼感谢，对外挂很有兴趣，慢慢研究 2018-6-13 20:11 0
noinoinoi 雪币： 15 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 71 粉丝 0 关注私信	noinoinoi 38 楼感谢楼主分享，研究下 2018-6-14 08:43 0
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 39 楼 hzqst 代理表示：拉闸？不存在的。我们百万驱动+引擎绘制+独立特征一人一马你蓝洞拿头检测？封号都是人工检测或者同行举报，蓝洞临时工7天24小时64块4k大屏幕人肉分析把你们安排上了  ... 看着很牛。不过暂时还是看不懂。是不是先得看汇编。后看驱动编程。再看逆向才能看得懂？大神 2018-6-14 11:22 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 40 楼文章不错这个样本我之前分析过心烦放弃了看了一遍思路真不错他这个读写思路还是管用得至于保护进程内存不被扫描这方法肯定不行了 2018-6-14 12:23 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 41 楼有个问题必须是fs_rec.sys吗其他的系统驱动也应该可以为啥我自己的驱动注册image加载回调启动dxf 根本进不来呢我猜测是tp内核拦截了但是为啥fs_rec.sys的回调就可以进去呢 ?我猜测是 tp 遍历所有回调地址发现所在的模块不属于白名单就G了最后于 2018-6-14 21:59 被killpy编辑，原因： 2018-6-14 21:49 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 42 楼 killpy 有个问题    必须是fs_rec.sys吗    其他的系统驱动也应该可以  为啥我自己的驱动&nb ... 自己随便写个镜像回调DXF可以进来啊，你的代码不对吧 fs_rec只是随便找的一个没什么人关注的驱动空间吧，实际上beep.sys null.sys都可以利用的。（而且确实有人利用了，样本我就不放了）最后于 2018-6-15 09:33 被hzqst编辑，原因： 2018-6-15 09:15 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 43 楼 hzqst killpy 有个问题&nbsp; &nbsp; 必须是fs_rec.sys吗&nbsp; & ... 这个驱动在pubg上主要是拉闸于创建设备通信，使用WskSocket就不拉闸。至于我大TP，这种手段早就被安排的明明白白。最后于 2018-6-16 12:22 被cvcvxk编辑，原因： 2018-6-16 12:22 0
BlackJZero 雪币： 2694 活跃值： (80) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 102 粉丝 5 关注私信	BlackJZero 44 楼顶 2018-6-17 10:27 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 45 楼这么厉害的吗 2018-7-22 14:32 0
黑洛雪币： 6124 活跃值： (4476) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 46 楼很有时间系列。 2018-7-27 01:09 0
niuzuoquan 雪币： 310 活跃值： (2232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 47 楼 mark 2018-7-30 16:14 0
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 48 楼 mark 2018-7-31 08:29 0
bxb 雪币： 1085 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	bxb 49 楼感觉现在套路真多 2018-9-4 16:30 0
你的香气雪币： 328 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	你的香气 50 楼 mark, 感谢楼主分享。 2018-10-8 15:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复