首页
社区
课程
招聘
[原创]Windows应用层实现VmWare穿透读写,实现无签名驱动加载。
发表于: 2023-2-21 12:58 32344

[原创]Windows应用层实现VmWare穿透读写,实现无签名驱动加载。

2023-2-21 12:58
32344

           写这个东西,最开始是无聊,无聊,很无聊,后面想想在windows三环直接操控VmWare里面WIN10的内存,这不就相当于实现了一套简易版的windows内存解析,对学习和了解内存是非常方便的事情,甚至说对了解整个windows内核都是一个有益的事情,因为实现这么个框架的话,我在三环就可以随意修改内核里面的数据,去验证和学习底层知识(如内存、注册表、对象管理器等等),抱着这样的目的,差不多写了两个星期,完成了一个简易版的框架(DEMO),里面的知识仅仅需要一点点C语言、汇编、PE、保护模式、windows内核方面的知识,就能了解原理,因为里面的知识大部分都是网上有的,我只是这些代码的搬运工然后糅合成一个工程,里面我写了大量的注释,让不会的哥们也能一目了然,不说了,先上效果图。


          具体原理就直接看代码吧,写起来太麻烦了,里面的注释写的比较完善了。





        因为我这段时间需要准备应付面试找工作了,这个DEMO有很多未完成的地方,有可能以后会完成,有可能过了这个兴趣时间,懒得写了,有兴趣的哥们可以自行完善,上面的内存解析,我只完成了部分功能(已经可以完成我目前的需求),pagefile.sys/subsection/win10的压缩内存解析我暂时没写,这个解析不难,麻烦的是需要调用VmWare的磁盘API去读扇区然后解析NTFS,这个对于我来说,需要浪费很多时间,以后有空再写吧。


        所以,我走了一个捷径:关闭win10的分页文件,重启!后续完成了上面的NTFS解析后再来测试这一块。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-2-21 12:59 被学技术打豆豆编辑 ,原因:
收藏
免费 26
支持
分享
最新回复 (38)
雪    币: 2541
活跃值: (1933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
狠到了
2023-2-21 13:06
0
雪    币: 3738
活跃值: (3872)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
顶!!!
2023-2-21 13:19
0
雪    币: 3738
活跃值: (3872)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
继续顶! 豆总牛逼!!!
2023-2-21 13:20
0
雪    币: 198
活跃值: (8558)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
5
fengyunabc 继续顶! 豆总牛逼!!!
2023-2-21 13:20
0
雪    币: 871
活跃值: (9841)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
6
奈何自己没文化,一句卧槽走天下. 卧槽!
2023-2-21 13:24
0
雪    币: 56
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
2023-2-21 13:56
0
雪    币: 12453
活跃值: (9422)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
奈何自己没文化,一句牛逼走天下. 牛逼!
2023-2-21 15:21
0
雪    币: 1411
活跃值: (737)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
太顶了
2023-2-21 16:38
0
雪    币: 1810
活跃值: (4020)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
顶,厉害
2023-2-21 16:59
0
雪    币: 1206
活跃值: (1909)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
大佬太猛了
2023-2-21 19:45
0
雪    币: 1810
活跃值: (4020)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
请问虚拟机是什么版本?
2023-2-21 21:12
0
雪    币: 630
活跃值: (570)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
奈何自己没文化,一句卧槽牛逼走天下. 卧槽牛逼!
2023-2-21 21:13
0
雪    币: 9941
活跃值: (2143)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
这水平,工作还要找吗?
2023-2-21 22:07
0
雪    币: 775
活跃值: (2292)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
15
2023-2-21 23:08
0
雪    币: 1862
活跃值: (4146)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
666
2023-2-22 07:49
0
雪    币: 32
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
啊,一点点 知识就够了。对对,亿点点 就够了
2023-2-22 09:00
0
雪    币: 1485
活跃值: (1135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透
2023-2-22 09:03
1
雪    币: 1464
活跃值: (1913)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
无敌
2023-2-22 09:34
0
雪    币: 198
活跃值: (8558)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
20
冰雄 思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透
没,不需要借助有签名的文件,那样就没有啥技术含量,虽然这个也没什么技术含量。
2023-2-22 19:13
0
雪    币: 1790
活跃值: (3786)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
21
支持分享,向楼主学习下。
2023-3-3 16:38
0
雪    币: 2458
活跃值: (4586)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
22
这水平,工作还要找吗?
2023-3-6 09:18
0
雪    币: 8761
活跃值: (5220)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
咱也看不懂,咱也不敢说。
2023-3-6 09:49
0
雪    币: 1485
活跃值: (1135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/,你这个工具只能针对VM.exe的注入?
2023-3-6 11:21
0
雪    币: 198
活跃值: (8558)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
25
冰雄 楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/,你这个工具只能针对VM.exe的注入?
他的没看,这个加载无签名驱动,只是一个附加的实现,纯粹是用来做测试用的,这个代码主要目的是模拟Windows的内存实现,学习原理的。
2023-3-6 12:06
1
游客
登录 | 注册 方可回帖
返回
//