首页
社区
课程
招聘
[原创]驱动感染技术扫盲(C描述)
发表于: 2007-12-5 19:46 79368

[原创]驱动感染技术扫盲(C描述)

2007-12-5 19:46
79368
收藏
免费 7
支持
分享
最新回复 (100)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
谢谢vxk的共享。  请教下vxk大侠,DriverEntry中的ulNewEntryPointDelta变量在计算后是一个0xfffff8a0,负值哦,在你那里是这样吗?
还有ulBodySize = ulEndAddr - (ulDelta + (ULONG)g_wszNtoskrnl)+0x30;计算后也是0xffffa2c这样的负值,导致NtWriteFile失败,怎么解决的啊:(
请大侠抽空帮小辈解决下疑难啊
2007-12-20 22:23
0
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
52
学习了,原来KGetStartAddr()是忽悠人的
2007-12-20 23:39
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
53
头文件自己写写就行了,难道非要手把手的。。。

附件删除,避免f5出来的麻烦
2007-12-21 00:57
0
雪    币: 163
活跃值: (60)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
54
[QUOTE=cvcvxk;393711]WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~,推荐方法就是直接搜索ntos比较好,一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始[/QUOTE]

我这也是搜PsLoadedModuleList,直接用第N个这样的判断不太安全
2007-12-21 00:59
0
雪    币: 163
活跃值: (60)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
55
有时候因为编译器的原因,全局数据并不会存放在KGetStartAddr函数后面,所以可以简单的处理一下,如比较KGetStartAddr()的返回值和最开始的一个全局变量的地址,小的那个就是StartAddr,这点是我的疏忽了,在文章里忘记说了:(
2007-12-21 01:02
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
56
我的这个代码感染的beep文件的idb,也上传一个算了~哈哈~~我的感染很成功啊~~
上传的附件:
2007-12-21 01:04
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
57
成功感染后的文件,也上传一份算了~嘿嘿~

去掉附件,避免被坏人利用了~
2007-12-21 01:06
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
58
用drivermoniter加载后,ff驱动很稳定哦~,别忘先net stop beep,然后加载这个玩意~

感染null也很成功,带文件枚举的我就不放了,太邪恶了~
2007-12-21 01:07
0
雪    币: 163
活跃值: (60)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
59
晕,老V,你太邪恶了,我删除一简单的KPELIB结构声明和不上传bin原因就是不想让坏人利用了,你。。。。。
2007-12-21 01:08
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
60
明白了,马上改帖子~
2007-12-21 01:18
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
61
把所有的编译优化都关闭就可以放心用全局变量或者KGetStartAddr了~

负数...没有啊~我感染成功拉拉~~
2007-12-21 01:23
0
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
为可怜滴beep和null默哀~~~~

null其实很简单,偶们可以自己实现,然后XX
2007-12-21 08:19
0
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
63
老v的idb里面也没用KGetStartAddr
2007-12-21 09:20
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
64
试验感染 XX病毒的nvmini.sys也成功了~
2007-12-21 12:49
0
雪    币: 405
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
虽然驱动还明白
但是看到了一种思路
谢谢
2007-12-21 22:07
0
雪    币: 214
活跃值: (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
66
看了半天我的盲还是没扫掉^_^
2007-12-31 11:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
好东西收藏了……
2007-12-31 12:13
0
雪    币: 243
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
68
有时间在看了,好贴
2007-12-31 13:02
0
雪    币: 222
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
感染是感染成功了, 不过感染Beep.sys后, 系统马上会替换回...
2008-1-6 22:24
0
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
去掉WFP
2008-1-7 10:50
0
雪    币: 222
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
是我没看仔细, 前面有提示的. -_-!!

yanxizhen?
yanxizhen.spaces.live.com是不是您的blog?
以前经常看的, 可好象有一段时间不能访问了.
2008-1-7 17:30
0
雪    币: 222
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
是我没看仔细, 前面有提示的. -_-!!

yanxizhen?
yanxizhen.spaces.live.com是不是您的blog?
以前经常看的, 可好象有一段时间不能访问了.
2008-1-7 17:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
学习!好复杂啊...
2008-1-16 01:13
0
雪    币: 8845
活跃值: (5341)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
74
看雪人才济济,有很多高手深藏不露。
2008-1-16 12:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
75
写的不错 就是不懂
2008-1-23 21:51
0
游客
登录 | 注册 方可回帖
返回
//