[原创]如何使用LLVM编译Windows驱动(混淆&Asm)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]如何使用LLVM编译Windows驱动(混淆&Asm)

发表于: 2020-10-18 16:29 15076

[原创]如何使用LLVM编译Windows驱动(混淆&Asm)

Chords

2020-10-18 16:29

15076

关于使用llvm编译驱动
主要用处内联汇编 & 混淆

混淆前代码

混淆后IDA F5
图 1
图 2
这里我们使用的是 goron

这一步其实自己设置环境变量

LLVM 官方下载地址:LLVM

Vs2019 插件下载地址:llvm2019
Vs2017 插件下载地址:LLVM Compiler Toolchain
2017以下不支持

我的:

如下
图 3

Toolset.props

图 4

Toolset.targets

图 5

图 6

#include "DriverEntry.h"
 
static VOID DriverUnload(_In_ PDRIVER_OBJECT DriverObject)
{

    UNREFERENCED_PARAMETER(DriverObject);

    return;
}
EXTERN_C  NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)
{

    UNREFERENCED_PARAMETER(pRegistryString);

    ULONG64 _Rax = 0;
 
    for (size_t i = 0; i < 10; i++)

    {

        DPRINT("Test\n");
 
    }

    __asm

    {

        mov _Rax, rax

    }

    DPRINT("Rax = %x\n", _Rax);
 
    pDriverObj->DriverUnload = DriverUnload;
 
    return STATUS_UNSUCCESSFUL;
}

#include "DriverEntry.h"

static VOID DriverUnload(_In_ PDRIVER_OBJECT DriverObject)

{

UNREFERENCED_PARAMETER(DriverObject);

return;

}

EXTERN_C NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)

{

UNREFERENCED_PARAMETER(pRegistryString);

ULONG64 _Rax = 0;

for (size_t i = 0; i < 10; i++)

{

DPRINT("Test\n");

}

__asm

{

mov _Rax, rax

}

DPRINT("Rax = %x\n", _Rax);

pDriverObj->DriverUnload = DriverUnload;

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・52

免费・9

支持

打赏 + 50.00雪花

WangYe643932

打赏次数 1

雪花 + 50.00

WangYe643932

+50.00

2022/08/29

感谢分享～

最新回复 (13)
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 2 楼 mark 2020-10-18 19:13 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼 vs2019 + wdk10 开发驱动，asm单独编写文件，混淆加壳用的vmp3.5 llvm没用过的飘过 2020-10-18 22:35 0
wx_Dispa1r 雪币： 1750 活跃值： (1390) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 39 粉丝 4 关注私信	wx_Dispa1r 4 楼 mark 2020-10-19 12:20 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼 6666 不错。支持下 2020-10-19 16:44 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 6 楼前几天还研究来着，vc2008可用，但是在wdk7上替换然后编译了一大堆头文件错误出来就放弃咯。。收藏先 2020-10-21 11:40 0
YZJClear 雪币： 1187 活跃值： (416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 7 楼 mark 2020-10-22 10:30 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 8 楼用llvm混淆驱动的方式我之前也尝试过，后来发现有个别当函数不支持，只编译了不包含这些函数的cpp，就没用了 2020-10-23 09:55 0
Chords 雪币： 1519 活跃值： (2127) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 9 楼 TopC 用llvm混淆驱动的方式我之前也尝试过，后来发现有个别当函数不支持，只编译了不包含这些函数的cpp，就没用了 writecr0这些吗,有办法解决 2020-10-24 00:19 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 10 楼这个是OLLVM，不是LLVM。没必要搞什么OLLVM混淆，卡的不行，用户体验差，也保护不了任何逻辑。要保护逻辑可以上VMP，那个东西是给验证用的。 2020-10-24 17:13 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 11 楼 Chords writecr0这些吗,有办法解决是的，赐教一下 2020-10-26 13:04 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 12 楼 mark 2020-10-26 15:19 0
h九门提督雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	h九门提督 13 楼请问 “C:\Program Files\LLVM\bin\clang-cl.exe”已退出，代码为 1。这个是什么情况呢？？？？ 2020-10-27 13:12 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 14 楼 “C:\Program Files\LLVM\bin\clang-cl.exe”已退出，代码为 1 我也是 2022-6-19 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Chords

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 2 楼 mark 2020-10-18 19:13 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 3 楼 vs2019 + wdk10 开发驱动，asm单独编写文件，混淆加壳用的vmp3.5 llvm没用过的飘过 2020-10-18 22:35 0
wx_Dispa1r 雪币： 1750 活跃值： (1390) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 39 粉丝 4 关注私信	wx_Dispa1r 4 楼 mark 2020-10-19 12:20 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼 6666 不错。支持下 2020-10-19 16:44 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 6 楼前几天还研究来着，vc2008可用，但是在wdk7上替换然后编译了一大堆头文件错误出来就放弃咯。。收藏先 2020-10-21 11:40 0
YZJClear 雪币： 1187 活跃值： (416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	YZJClear 7 楼 mark 2020-10-22 10:30 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 8 楼用llvm混淆驱动的方式我之前也尝试过，后来发现有个别当函数不支持，只编译了不包含这些函数的cpp，就没用了 2020-10-23 09:55 0
Chords 雪币： 1519 活跃值： (2127) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 9 楼 TopC 用llvm混淆驱动的方式我之前也尝试过，后来发现有个别当函数不支持，只编译了不包含这些函数的cpp，就没用了 writecr0这些吗,有办法解决 2020-10-24 00:19 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 10 楼这个是OLLVM，不是LLVM。没必要搞什么OLLVM混淆，卡的不行，用户体验差，也保护不了任何逻辑。要保护逻辑可以上VMP，那个东西是给验证用的。 2020-10-24 17:13 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 11 楼 Chords writecr0这些吗,有办法解决是的，赐教一下 2020-10-26 13:04 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 12 楼 mark 2020-10-26 15:19 0
h九门提督雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	h九门提督 13 楼请问 “C:\Program Files\LLVM\bin\clang-cl.exe”已退出，代码为 1。这个是什么情况呢？？？？ 2020-10-27 13:12 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 14 楼 “C:\Program Files\LLVM\bin\clang-cl.exe”已退出，代码为 1 我也是 2022-6-19 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复