-
-
[原创]动态过DSE代码以及原理
-
发表于: 2019-10-18 17:26
-
现在的驱动,必须都有签名才能加载.那么如何加载无签名的驱动模块那.
下面可以说下方法.但是挺尴尬的是,代码必须在驱动中编写.所以就形成了
你必须一个驱动带有一个签名加载进去.执行你的代码.pass掉DSE之后以后加载驱动就可以完全不用签名了.
原理就是Path一下CI内核模块.将一个全局变量置为0即可.但是受PG保护.不过PG要检测这个位置不会立刻保护.所以可以修改完加载完你的无驱动签名的驱动.然后修改回来即可.
全局变量有三个. 0 6 8 0代表禁用 6代表开启. 8代表可以加载测试签名.
既然上面说了.是修改一个全局变量.那么打开CI看看修改那个即可.
结果
虽然提示你需要签名.但是可以用PChunter看到.其实已经加载了.
一共三个值. 0 6 8 6代表开启驱动签名 0代表关闭 8 代表开启测试驱动签名
ps: .核心原理是看流星的一个大佬发的代码.自己本地测试了一下可行.所以发出来了.
原理就是Path CI. 大佬的代码就是寻找特征定位全局变量。既然知道原理了。那么定位的话就抄一下了。
另一篇文章是参考了 安全客的一个漏洞文章。现在找不到了。另一篇所讲的是 标志有三种 0 6 8 0是禁用 6是开启 8是启动测试签名。所以在这里直接使用了。
感谢 看流星论坛的大佬.因为写完文章好几天了.所以原文没找到.当时也看到一个安全客的漏洞分析也有讲.都找不到了.所以先在此感谢.如有侵犯权利或者发文不合适.请删帖.
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2019-10-18 17:40
被TkBinary编辑
,原因:
|
|
|---|---|
|
|
|
|
|
下次来一篇直接加载的
|
|
|
修改一下值.说错.大佬勿怪. 
|
|
|
好的继续研究
|
|
|
下次来一篇解base64的
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
大佬说得对.不过这东西跟动态过PG一样. 网吧中很多无签名的驱动.反正总会有人用到的.哈哈.
|
|
|
改的快没事,亲测. 一个多小时都没蓝. 无调试模式. |
|
|
|
|
|
|
|
|
去IDA找一下这个位置.去看看. 我用的win7 win10以上你可以看下变成什么样了. |
|
|
|
|
|
我记得有一个利用虚拟机的漏洞加载无签名的驱动的,你这种也是另外一种思路啊,.
|
hzqst
