[原创]驱动感染技术扫盲（C描述）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]驱动感染技术扫盲（C描述）

发表于: 2007-12-5 19:46 79319

[原创]驱动感染技术扫盲（C描述）

老Y

2007-12-5 19:46

79319

查看主题内容

收藏・88

免费・7

支持

最新回复 (100) ◀ 1 2 3 4 5 ▶
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 26 楼刚好看到类似的驱动文件.受益了 2007-12-15 15:25 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 27 楼 KPELIB 这个结构体怎么来的请大侠指点一二，呵呵 2007-12-18 14:52 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 28 楼收藏~~ ~~ 2007-12-18 18:50 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 29 楼自己定义一个就好了,咔咔另外代码还要加些东西才能正常运行 2007-12-18 21:33 0
lvkeqin 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	lvkeqin 30 楼学习慢慢看! 2007-12-19 00:36 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 31 楼给点提示嘛既然是扫盲贴，怎么不说多点撒唉 2007-12-19 08:24 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 32 楼呵呵,偶不是楼主啊给下我的定义: typedef struct _PE { HANDLE hFile; HANDLE hSection; IMAGE_DOS_HEADER * pDosHdr; IMAGE_NT_HEADERS32 * pNtHdr; IMAGE_SECTION_HEADER * pSectHdr; IMAGE_EXPORT_DIRECTORY * pExportEntry; PUCHAR pImgBase; ULONG ImgSize; } PE, *PPE; 其中hSection用来存储ZwCreateSection产生的句柄. 另外,其实系统已经提供了一个MiFindExportedRoutineByName 给我们,可以参考它的源码. 不过据说这个函数有bug,会蓝,XP SP3会修补,Vista没有问题 2007-12-19 08:41 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 33 楼哈哈。LS的给的这个和原代码不匹配。你误解人家的意思了。人家不是不知道PE结构（PE结构在SDK头文件里就有）而是说楼主的代码里自己定义的这个_KPELIB 结构没有帖出来。需要自己去完善。偶来个完整的。而且编译通过。 typedef struct _KPELIB { PIMAGE_DOS_HEADER pDosHdr; PIMAGE_NT_HEADERS32 pNtHdr; PIMAGE_SECTION_HEADER pSecHdr; PIMAGE_EXPORT_DIRECTORY pExportEntry; PIMAGE_IMPORT_DESCRIPTOR pImportEntry; PIMAGE_BASE_RELOCATION pBaseReloc; BOOLEAN IsInitSuccessed; PUCHAR pMap; ULONG uMapSize; HANDLE hFile; } KPELIB, *PKPELIB; 2007-12-19 09:03 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 34 楼非常谢谢楼上2位的回复，偶也刚定义好这个KPELIB结构惭愧ing 现在编译通过了，正在解决后面的问题，这个扫盲贴不简单啦 2007-12-19 15:29 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 35 楼呵呵,我自行定义的,不是根据它这个源码,咔咔,调用nt的时候记得把previousmode搞掉 2007-12-19 16:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 36 楼 lz很厉害啊~ 没有时间仔细看细节~ 用汇编写个驱动感染的loader就行了~ 主体还是C写的爽~ 2007-12-20 03:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 37 楼 VOID KWcsUpper(WCHAR Str, ULONG ulSize) { if (ulSize) { ulSize = ulSize / sizeof(WCHAR); while (ulSize) { if (Str >= L'a' && Str <= L'z') { Str -= 0x20; } Str++; ulSize --; } return ; } //else { while (Str) { if (Str >= L'a' && Str <= L'z') { Str -= 0x20; } Str++; } return ; } } 2007-12-20 03:15 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 38 楼 CHAR g_szFuncName[defApiNum][80] = { "IoCreateFile", "ZwClose", "ExAllocatePoolWithTag", "ZwReadFile", "ZwWriteFile", "ZwSetInformationFile", "ZwQueryInformationFile", "ExFreePoolWithTag", "DbgPrint", "RtlInitUnicodeString", "PsCreateSystemThread", "KeDelayExecutionThread" }; 这样子比较好~~，不用xx掉premode 2007-12-20 03:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 39 楼 WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始 2007-12-20 03:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 40 楼很容易搞好的说~~哈哈哈，如果用上我以前的一个东西就更稳定拉拉~ 上传idb文件~ 上传的附件： InfectDriver.rar （27.08kb，172次下载） 2007-12-20 03:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 41 楼哇。感谢老V大牛的共享精神啊~~~ 2007-12-20 07:36 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 42 楼 [QUOTE=cvcvxk;393711]WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始[/QUOTE] 偶就是在DriverEntry里通过DriverObject直接获取,直接写文件名太明显了 2007-12-20 07:51 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 43 楼各位大大能不能再解释下啊，小菜偶还有不少不明白的地方： 1，g_pDriverObject 这个东东怎么没有初始化就拿来用阿PDRIVER_OBJECT DriverObject = KGetGlobalVarAddr(g_pDriverObject); 2，WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";要是机器使用的内核不是这个呢？要不要作相应修改？ 3，PROCESS_ERROR(pe->pExportEntry);这个是干什么的呢 4，最麻烦的ulBodySize = ulEndAddr - (ulDelta + (ULONG)g_wszNtoskrnl);结果怎么是个负值哦，0xffxxxxxx.其中ulDelta打印出来发现是0... 请各位大大抽空指点下，谢谢啦，偶太菜 2007-12-20 11:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 44 楼 PROCESS_ERROR 是原作者自己定义的函数. ntoskrnl.exe基本不变. Vista的不晓得了.[偶没装VISTA] g_pDriverObject 是全局变量. 最后个自己慢慢调试,慢慢蓝 2007-12-20 13:03 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 45 楼 [QUOTE=sudami;393840]PROCESS_ERROR 是原作者自己定义的函数. ntoskrnl.exe基本不变. Vista的不晓得了.[偶没装VISTA] g_pDriverObject 是全局变量. 最后个自己慢慢调试,慢慢蓝[/QUOTE] 感谢sudami大侠的回复请教g_pDriverObject这个全局变量在哪里赋初值的呢？是DriverEntry的DriverObject吗？还是别的什么 2007-12-20 15:33 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 46 楼对滴 2007-12-20 17:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 47 楼搞好的可以用的C文件~~ ps: 编译忽略警报才可以，否则不会成功的说~ o(∩_∩)o... 只要再加上ScanFile就可以XX,YY了~ 需要去掉WFP啊~~ 上传的附件： InfectDriver.rar （7.72kb，152次下载） 2007-12-20 19:08 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 48 楼 vxk大叔里面的头文件都没给啊。 #include <zwfunc.h> 又一个自定义头，编译通不过。。。 2007-12-20 21:45 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 49 楼谁放一个编译好的bin 出来看看呢？学习一下 2007-12-20 21:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 50 楼偶来个，不排除BSOD的可能性啊。上传的附件： InfectDriver.rar （3.33kb，136次下载） 2007-12-20 22:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老Y

发帖

147

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (100) ◀ 1 2 3 4 5 ▶
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 26 楼刚好看到类似的驱动文件.受益了 2007-12-15 15:25 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 27 楼 KPELIB 这个结构体怎么来的请大侠指点一二，呵呵 2007-12-18 14:52 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 28 楼收藏~~ ~~ 2007-12-18 18:50 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 29 楼自己定义一个就好了,咔咔另外代码还要加些东西才能正常运行 2007-12-18 21:33 0
lvkeqin 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	lvkeqin 30 楼学习慢慢看! 2007-12-19 00:36 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 31 楼给点提示嘛既然是扫盲贴，怎么不说多点撒唉 2007-12-19 08:24 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 32 楼呵呵,偶不是楼主啊给下我的定义: typedef struct _PE { HANDLE hFile; HANDLE hSection; IMAGE_DOS_HEADER * pDosHdr; IMAGE_NT_HEADERS32 * pNtHdr; IMAGE_SECTION_HEADER * pSectHdr; IMAGE_EXPORT_DIRECTORY * pExportEntry; PUCHAR pImgBase; ULONG ImgSize; } PE, *PPE; 其中hSection用来存储ZwCreateSection产生的句柄. 另外,其实系统已经提供了一个MiFindExportedRoutineByName 给我们,可以参考它的源码. 不过据说这个函数有bug,会蓝,XP SP3会修补,Vista没有问题 2007-12-19 08:41 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 33 楼哈哈。LS的给的这个和原代码不匹配。你误解人家的意思了。人家不是不知道PE结构（PE结构在SDK头文件里就有）而是说楼主的代码里自己定义的这个_KPELIB 结构没有帖出来。需要自己去完善。偶来个完整的。而且编译通过。 typedef struct _KPELIB { PIMAGE_DOS_HEADER pDosHdr; PIMAGE_NT_HEADERS32 pNtHdr; PIMAGE_SECTION_HEADER pSecHdr; PIMAGE_EXPORT_DIRECTORY pExportEntry; PIMAGE_IMPORT_DESCRIPTOR pImportEntry; PIMAGE_BASE_RELOCATION pBaseReloc; BOOLEAN IsInitSuccessed; PUCHAR pMap; ULONG uMapSize; HANDLE hFile; } KPELIB, *PKPELIB; 2007-12-19 09:03 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 34 楼非常谢谢楼上2位的回复，偶也刚定义好这个KPELIB结构惭愧ing 现在编译通过了，正在解决后面的问题，这个扫盲贴不简单啦 2007-12-19 15:29 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 35 楼呵呵,我自行定义的,不是根据它这个源码,咔咔,调用nt的时候记得把previousmode搞掉 2007-12-19 16:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 36 楼 lz很厉害啊~ 没有时间仔细看细节~ 用汇编写个驱动感染的loader就行了~ 主体还是C写的爽~ 2007-12-20 03:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 37 楼 VOID KWcsUpper(WCHAR Str, ULONG ulSize) { if (ulSize) { ulSize = ulSize / sizeof(WCHAR); while (ulSize) { if (Str >= L'a' && Str <= L'z') { Str -= 0x20; } Str++; ulSize --; } return ; } //else { while (Str) { if (Str >= L'a' && Str <= L'z') { Str -= 0x20; } Str++; } return ; } } 2007-12-20 03:15 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 38 楼 CHAR g_szFuncName[defApiNum][80] = { "IoCreateFile", "ZwClose", "ExAllocatePoolWithTag", "ZwReadFile", "ZwWriteFile", "ZwSetInformationFile", "ZwQueryInformationFile", "ExFreePoolWithTag", "DbgPrint", "RtlInitUnicodeString", "PsCreateSystemThread", "KeDelayExecutionThread" }; 这样子比较好~~，不用xx掉premode 2007-12-20 03:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 39 楼 WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始 2007-12-20 03:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 40 楼很容易搞好的说~~哈哈哈，如果用上我以前的一个东西就更稳定拉拉~ 上传idb文件~ 上传的附件： InfectDriver.rar （27.08kb，172次下载） 2007-12-20 03:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 41 楼哇。感谢老V大牛的共享精神啊~~~ 2007-12-20 07:36 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 42 楼 [QUOTE=cvcvxk;393711]WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始[/QUOTE] 偶就是在DriverEntry里通过DriverObject直接获取,直接写文件名太明显了 2007-12-20 07:51 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 43 楼各位大大能不能再解释下啊，小菜偶还有不少不明白的地方： 1，g_pDriverObject 这个东东怎么没有初始化就拿来用阿PDRIVER_OBJECT DriverObject = KGetGlobalVarAddr(g_pDriverObject); 2，WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";要是机器使用的内核不是这个呢？要不要作相应修改？ 3，PROCESS_ERROR(pe->pExportEntry);这个是干什么的呢 4，最麻烦的ulBodySize = ulEndAddr - (ulDelta + (ULONG)g_wszNtoskrnl);结果怎么是个负值哦，0xffxxxxxx.其中ulDelta打印出来发现是0... 请各位大大抽空指点下，谢谢啦，偶太菜 2007-12-20 11:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 44 楼 PROCESS_ERROR 是原作者自己定义的函数. ntoskrnl.exe基本不变. Vista的不晓得了.[偶没装VISTA] g_pDriverObject 是全局变量. 最后个自己慢慢调试,慢慢蓝 2007-12-20 13:03 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 45 楼 [QUOTE=sudami;393840]PROCESS_ERROR 是原作者自己定义的函数. ntoskrnl.exe基本不变. Vista的不晓得了.[偶没装VISTA] g_pDriverObject 是全局变量. 最后个自己慢慢调试,慢慢蓝[/QUOTE] 感谢sudami大侠的回复请教g_pDriverObject这个全局变量在哪里赋初值的呢？是DriverEntry的DriverObject吗？还是别的什么 2007-12-20 15:33 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 46 楼对滴 2007-12-20 17:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 47 楼搞好的可以用的C文件~~ ps: 编译忽略警报才可以，否则不会成功的说~ o(∩_∩)o... 只要再加上ScanFile就可以XX,YY了~ 需要去掉WFP啊~~ 上传的附件： InfectDriver.rar （7.72kb，152次下载） 2007-12-20 19:08 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 48 楼 vxk大叔里面的头文件都没给啊。 #include <zwfunc.h> 又一个自定义头，编译通不过。。。 2007-12-20 21:45 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 49 楼谁放一个编译好的bin 出来看看呢？学习一下 2007-12-20 21:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 50 楼偶来个，不排除BSOD的可能性啊。上传的附件： InfectDriver.rar （3.33kb，136次下载） 2007-12-20 22:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复