首页
社区
课程
招聘
[求助]windows驱动如何保护IoControl不被fuzzing和恶意R3利用呢
发表于: 2022-8-18 00:16 6731

[求助]windows驱动如何保护IoControl不被fuzzing和恶意R3利用呢

2022-8-18 00:16
6731

有两个问题就是,
1是iocontrol配合的可能是第三方正常功能的R3程序,所以不太可能校验R3合法性
2是iocontrol的调用次数可能会短时间很大量,所以每次调用前添加算法验证的话会很影响效率

 

在此条件下有什么办法可以稍微保护IoControl呢

 

谢谢大家


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 1620
活跃值: (3502)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
驱动直接开源,都自己编译了,然后就没人调用你的驱动了,
2022-8-18 00:33
0
雪    币: 12848
活跃值: (9167)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
3
你好,没有办法
2022-8-18 08:59
0
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不验证r3三方程序可以。第二条可以改一下,在IRP_CREATE的时候验证啊。验证通过再走下面的,DeviceIoControl不管,
2022-11-5 14:59
0
雪    币: 474
活跃值: (1237)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
没有好的办法,现在杀软都是一整套逻辑配合来保护自己的驱动不被利用(即便如此也只能说是更难利用),比如某些杀软是要检测这个进程是否在自保护中,是的话才允许通信。如果只是通信加密,反调试,这种也只是增加分析难度。
2022-11-5 15:25
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
不使用驱动就好了
2022-11-5 17:47
0
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
去VT上看看,一堆随机名的杀软驱动被人上传,我开始以为是上传bot或者是VT的规则使上传文件随机名化导致的,直到。。。。。。
2022-11-5 21:44
0
游客
登录 | 注册 方可回帖
返回
//