-
-
IceExt分析文章系列 2. IceExt Loader的实现原理
-
2006-6-13 08:28
5985
-
IceExt分析文章系列 2. IceExt Loader的实现原理
运行方法
0.70
iceext -s
iceext -e
0.67, 0.66, 0.65
net start iceext
net stop iceext
;从0.70开始,IceExt由自己的装载器而不再是系统服务管理器负责载入。
设计思路
IceExt.sys的映像保存在IceExt.exe的资源组BINARY的第一项中。
IceExt.exe将资源取出,保存为文件,文件名为IceExt.sys,保存路径为系统驱动程序文件夹。
然后利用NtLoadDriver将其作为设备驱动程序加载。
运行IceExt需要满足的条件
[CheckSoftICEConfig() in IceExt.c v0.70]
I.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTice下有键值,
名为KDExtensions,类型为REG_SZ。
II.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTice下有键值,
名为KDHeapSize,类型为REG_DWORD,值大于或等于0x00008000。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTice下有键值,
名为KDStackSize,类型为REG_DWORD,值大于或等于0x00008000。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
