首页
论坛
课程
招聘
[求助]windows驱动如何保护IoControl不被fuzzing和恶意R3利用呢
2022-8-18 00:16 5042

[求助]windows驱动如何保护IoControl不被fuzzing和恶意R3利用呢

2022-8-18 00:16
5042

有两个问题就是,
1是iocontrol配合的可能是第三方正常功能的R3程序,所以不太可能校验R3合法性
2是iocontrol的调用次数可能会短时间很大量,所以每次调用前添加算法验证的话会很影响效率

 

在此条件下有什么办法可以稍微保护IoControl呢

 

谢谢大家


[招生]科锐逆向工程师培训46期预科班将于 2023年02月09日 正式开班

收藏
点赞0
打赏
分享
最新回复 (6)
雪    币: 41
活跃值: 活跃值 (1409)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tmflxw 活跃值 2022-8-18 00:33
2
0
驱动直接开源,都自己编译了,然后就没人调用你的驱动了,
雪    币: 12010
活跃值: 活跃值 (7127)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2022-8-18 08:59
3
0
你好,没有办法
雪    币: 31
活跃值: 活跃值 (140)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MaMy 活跃值 2022-11-5 14:59
4
0
不验证r3三方程序可以。第二条可以改一下,在IRP_CREATE的时候验证啊。验证通过再走下面的,DeviceIoControl不管,
雪    币: 265
活跃值: 活跃值 (133)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
走起来 活跃值 2022-11-5 15:25
5
0
没有好的办法,现在杀软都是一整套逻辑配合来保护自己的驱动不被利用(即便如此也只能说是更难利用),比如某些杀软是要检测这个进程是否在自保护中,是的话才允许通信。如果只是通信加密,反调试,这种也只是增加分析难度。
雪    币: 242
活跃值: 活跃值 (2209)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2022-11-5 17:47
6
0
不使用驱动就好了
雪    币: 1361
活跃值: 活跃值 (1273)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killleer 活跃值 2022-11-5 21:44
7
0
去VT上看看,一堆随机名的杀软驱动被人上传,我开始以为是上传bot或者是VT的规则使上传文件随机名化导致的,直到。。。。。。
游客
登录 | 注册 方可回帖
返回