-
-
[未解决,已结帖]
[求助]Windows驱动键盘保护
50.00雪花
-
发表于:
2019-8-7 00:34
2327
-
[未解决,已结帖] [求助]Windows驱动键盘保护
50.00雪花
目前想到的攻击方式:
1. 设备过滤驱动:在kbdclass驱动上层做过滤
2. HOOK IDT中的ISR(int 16),即修改ISR的地址
2.1 . Inline Hook ISR
3. HOOK kbdclass驱动的IRP_MJ_READ dispatch函数
4. Inline HOOK IoCompleteRequest和IoCallDriver函数
5. Inline HOOK READ_PORT_UCHAR函数
尴尬的是,我知道怎么去攻击,却不知道该怎么去防护
1. 怎么防住上层的过滤?
2. 怎么检测这些函数被HOOK?当知道被HOOK后,我该怎么去还原
目前纠结的是我知道这些函数被HOOK了,可不知道原来的opcode是什么,它到底改了多少字节,我该怎么改回去。
[课程]Android-CTF解题方法汇总!