[原创]64位环境下已签名驱动中实现加载未签名驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]64位环境下已签名驱动中实现加载未签名驱动

发表于: 2019-3-29 13:55 20585

[原创]64位环境下已签名驱动中实现加载未签名驱动

TechForBad 活跃值

2019-3-29 13:55

20585

在64位环境下已签名驱动中实现加载未签名驱动，例如要加载路径为C:\test.sys的未签名驱动程序，步骤如下：

（1）将C:\test.sys按照内存对齐方式拷贝到内存中。

（2）对test内存映像进行重定位。

（3）修复test内存映像的导入表。

（4）获取test内存映像中入口点DrverEntry地址，之后调用IoCreateDriver创建驱动。(IoCreateDriver会调用test的DriverEntry函数，DriverEntry返回后，IoCreateDriver才返回)

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

MmLoadDriver内存加载驱动.7z （4.04kb，856次下载）

收藏・73

免费・6

支持

最新回复 (31) 1 2 ▶
晚风a 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	晚风a 2 楼很强 2019-3-29 16:38 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 3 楼羡慕 2019-3-29 20:38 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 4 楼但是好像会导致某些回调创建失败，不然感觉确实稳如狗 2019-3-30 18:50 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 5 楼 lytywg 但是好像会导致某些回调创建失败，不然感觉确实稳如狗我在C:\test.sys里面试过创建进程回调，没啥问题，不过其他回调会怎么样我不知道 2019-3-30 19:28 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 6 楼昵称好麻烦我在C:\test.sys里面试过创建进程回调，没啥问题，不过其他回调会怎么样我不知道那个句柄回调，还有创建进程回调，试试 2019-3-30 19:42 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 7 楼下个代码，谢谢。 2019-3-30 20:23 0
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 26 粉丝 6 关注私信	花弄影h 8 楼 mark 2019-4-1 08:44 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 9 楼这种方法貌似没法直接创建 ob回调和设备，当然也有解决的办法 ob回调是因为检测到没有签名，定位之后patch掉即可设备通信，劫持其他驱动的即可当然如果是拿来过检测的就别想了几百年前就检测了 2019-4-1 11:34 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 10 楼 mark 3q 2019-4-1 12:31 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 11 楼有对象还隐藏个毛线，驱动对象目录过一遍就出来了。BB现成的多好。 2019-4-1 17:06 0
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	CIVIL哈 12 楼我以前写过重定位之后直接call DriverEntry 貌似也没有什么问题为什么要调用这个IoCreateDriver 2019-4-2 12:46 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 13 楼 CIVIL哈我以前写过重定位之后直接call DriverEntry 貌似也没有什么问题为什么要调用这个IoCreateDriver 系统帮你创建驱动对象，以及注册表项...... 2019-4-2 13:15 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 14 楼 mark 2019-4-2 16:28 0
Territory 雪币： 88 活跃值： (649) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Territory 15 楼 mark 2019-4-2 18:21 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 16 楼 mark 2019-4-4 10:24 0
泪落晨曦雪币： 223 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	泪落晨曦 17 楼 mark 2019-4-4 10:37 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 18 楼其实qq的驱动可以直接帮你加驱动，发个消息就行 2019-4-4 10:48 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 19 楼 wuxiwudi 其实qq的驱动可以直接帮你加驱动，发个消息就行能说说具体怎么做不？ 2019-4-4 10:59 0
provence 雪币： 1055 活跃值： (412) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 5 关注私信	provence 20 楼 mark 2019-4-20 15:49 0
hedilict 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	hedilict 21 楼有些驱动可以直接帮你加载未签名驱动，可以看看uc的过检测thread 2019-5-20 03:39 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 22 楼 mark 2019-5-20 21:41 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 23 楼昵称好麻烦能说说具体怎么做不？肯定不能啊 2019-5-27 10:59 0
thegfw 雪币： 989 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	thegfw 24 楼 mark 2019-6-10 22:56 0
小希希雪币： 1821 活跃值： (4035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 336 粉丝 18 关注私信	小希希 25 楼 mark 2019-6-17 14:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TechForBad

发帖

157

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
晚风a 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	晚风a 2 楼很强 2019-3-29 16:38 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 3 楼羡慕 2019-3-29 20:38 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 4 楼但是好像会导致某些回调创建失败，不然感觉确实稳如狗 2019-3-30 18:50 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 5 楼 lytywg 但是好像会导致某些回调创建失败，不然感觉确实稳如狗我在C:\test.sys里面试过创建进程回调，没啥问题，不过其他回调会怎么样我不知道 2019-3-30 19:28 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 6 楼昵称好麻烦我在C:\test.sys里面试过创建进程回调，没啥问题，不过其他回调会怎么样我不知道那个句柄回调，还有创建进程回调，试试 2019-3-30 19:42 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 7 楼下个代码，谢谢。 2019-3-30 20:23 0
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 26 粉丝 6 关注私信	花弄影h 8 楼 mark 2019-4-1 08:44 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 9 楼这种方法貌似没法直接创建 ob回调和设备，当然也有解决的办法 ob回调是因为检测到没有签名，定位之后patch掉即可设备通信，劫持其他驱动的即可当然如果是拿来过检测的就别想了几百年前就检测了 2019-4-1 11:34 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 10 楼 mark 3q 2019-4-1 12:31 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 11 楼有对象还隐藏个毛线，驱动对象目录过一遍就出来了。BB现成的多好。 2019-4-1 17:06 0
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	CIVIL哈 12 楼我以前写过重定位之后直接call DriverEntry 貌似也没有什么问题为什么要调用这个IoCreateDriver 2019-4-2 12:46 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 13 楼 CIVIL哈我以前写过重定位之后直接call DriverEntry 貌似也没有什么问题为什么要调用这个IoCreateDriver 系统帮你创建驱动对象，以及注册表项...... 2019-4-2 13:15 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 14 楼 mark 2019-4-2 16:28 0
Territory 雪币： 88 活跃值： (649) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Territory 15 楼 mark 2019-4-2 18:21 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 16 楼 mark 2019-4-4 10:24 0
泪落晨曦雪币： 223 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	泪落晨曦 17 楼 mark 2019-4-4 10:37 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 18 楼其实qq的驱动可以直接帮你加驱动，发个消息就行 2019-4-4 10:48 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 19 楼 wuxiwudi 其实qq的驱动可以直接帮你加驱动，发个消息就行能说说具体怎么做不？ 2019-4-4 10:59 0
provence 雪币： 1055 活跃值： (412) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 5 关注私信	provence 20 楼 mark 2019-4-20 15:49 0
hedilict 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	hedilict 21 楼有些驱动可以直接帮你加载未签名驱动，可以看看uc的过检测thread 2019-5-20 03:39 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 22 楼 mark 2019-5-20 21:41 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 23 楼昵称好麻烦能说说具体怎么做不？肯定不能啊 2019-5-27 10:59 0
thegfw 雪币： 989 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	thegfw 24 楼 mark 2019-6-10 22:56 0
小希希雪币： 1821 活跃值： (4035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 336 粉丝 18 关注私信	小希希 25 楼 mark 2019-6-17 14:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复