[原创]如何逆向PCHUNTER驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

麻木的时间

2021-4-27 17:40

6319

由于好奇PCHUNTER软件里某些功能是怎么实现的，所以产生了逆向它的驱动程序的想法。废话不多说开干！！！！！！！！！！！

第一步，pchunter程序运行时会删除加载的驱动，所以要先得到该驱动文件。在这里提供3种办法：
1：minifilter文件过滤驱动在自删除irp处理程序中转储这个文件。
2：虚拟机足够卡的话在加载时直接复制也可成功。
3：我直接提供驱动文件，下载即可。

第二步，无符号的驱动文件怎么在入口处断下来？
这里以WIN10为例：
通过函数IopLoadDriver来找到驱动的DriverInit函数调用。

IopLoadDriver -> _guard_dispatch_icall -> jmp rax

图片描述

第三步：找到驱动的通信处理函数。

图片描述
通过动态调试代码发现PCHUNTER的3环和0环的通信控制码只有一个，区分不同的功能实现是通过DeviceIoControl的buffer参数里面的内容。

附件是我逆向的暂停线程的功能，如果需要知道某个具体功能的实现，就在irp处理函数中下断点就可以了。

最后于 2021-4-27 17:42 被麻木的时间编辑，原因：

上传的附件：

收藏・13

免费・2

支持

最新回复 (3)
阳台北部雪币： 2392 活跃值： (1055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	阳台北部 2 楼第一步只要用调试器在写入完成后下一个断点就行 2021-4-28 10:12 1
青丝梦雪币： 1420 活跃值： (2151) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 3 楼我琢磨著，获取驱动不是最简单的一步么？用cff 打开他的资源文件，右键 save 不就可以了。。。 2022-8-14 09:11 0
tDasm 雪币： 14808 活跃值： (6048) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 4 楼驱动好象不宜加壳?vm是可以的。如果不加壳又不vm，那逆向就是小菜 2022-8-14 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

麻木的时间

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
阳台北部雪币： 2392 活跃值： (1055) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	阳台北部 2 楼第一步只要用调试器在写入完成后下一个断点就行 2021-4-28 10:12 1
青丝梦雪币： 1420 活跃值： (2151) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 3 楼我琢磨著，获取驱动不是最简单的一步么？用cff 打开他的资源文件，右键 save 不就可以了。。。 2022-8-14 09:11 0
tDasm 雪币： 14808 活跃值： (6048) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 4 楼驱动好象不宜加壳?vm是可以的。如果不加壳又不vm，那逆向就是小菜 2022-8-14 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复