[原创]驱动感染技术扫盲（C描述）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]驱动感染技术扫盲（C描述）

发表于: 2007-12-5 19:46 79319

[原创]驱动感染技术扫盲（C描述）

老Y

2007-12-5 19:46

79319

查看主题内容

收藏・88

免费・7

支持

最新回复 (100) ◀ 1 2 3 4 5 ▶
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 51 楼谢谢vxk的共享。请教下vxk大侠，DriverEntry中的ulNewEntryPointDelta变量在计算后是一个0xfffff8a0,负值哦，在你那里是这样吗？还有ulBodySize = ulEndAddr - (ulDelta + (ULONG)g_wszNtoskrnl)+0x30;计算后也是0xffffa2c这样的负值，导致NtWriteFile失败，怎么解决的啊：（请大侠抽空帮小辈解决下疑难啊 2007-12-20 22:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 52 楼学习了，原来KGetStartAddr()是忽悠人的 2007-12-20 23:39 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 53 楼头文件自己写写就行了，难道非要手把手的。。。附件删除，避免f5出来的麻烦 2007-12-21 00:57 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 54 楼 [QUOTE=cvcvxk;393711]WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始[/QUOTE] 我这也是搜PsLoadedModuleList，直接用第N个这样的判断不太安全 2007-12-21 00:59 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 55 楼有时候因为编译器的原因，全局数据并不会存放在KGetStartAddr函数后面，所以可以简单的处理一下，如比较KGetStartAddr（）的返回值和最开始的一个全局变量的地址，小的那个就是StartAddr,这点是我的疏忽了，在文章里忘记说了：（ 2007-12-21 01:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 56 楼我的这个代码感染的beep文件的idb，也上传一个算了~哈哈~~我的感染很成功啊~~ 上传的附件： ff.rar （28.57kb，86次下载） 2007-12-21 01:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 57 楼成功感染后的文件，也上传一份算了~嘿嘿~ 去掉附件，避免被坏人利用了~ 2007-12-21 01:06 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 58 楼用drivermoniter加载后，ff驱动很稳定哦~，别忘先net stop beep,然后加载这个玩意~ 感染null也很成功，带文件枚举的我就不放了，太邪恶了~ 2007-12-21 01:07 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 59 楼晕，老V，你太邪恶了，我删除一简单的KPELIB结构声明和不上传bin原因就是不想让坏人利用了，你。。。。。 2007-12-21 01:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 60 楼明白了，马上改帖子~ 2007-12-21 01:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 61 楼把所有的编译优化都关闭就可以放心用全局变量或者KGetStartAddr了~ 负数...没有啊~我感染成功拉拉~~ 2007-12-21 01:23 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 62 楼为可怜滴beep和null默哀~~~~ null其实很简单,偶们可以自己实现,然后XX 2007-12-21 08:19 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 63 楼老v的idb里面也没用KGetStartAddr 2007-12-21 09:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 64 楼试验感染 XX病毒的nvmini.sys也成功了~ 2007-12-21 12:49 0
Mike1234567890 雪币： 405 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 0 关注私信	Mike1234567890 65 楼虽然驱动还明白但是看到了一种思路谢谢 2007-12-21 22:07 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 66 楼看了半天我的盲还是没扫掉^_^ 2007-12-31 11:02 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 67 楼好东西收藏了…… 2007-12-31 12:13 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 68 楼有时间在看了，好贴 2007-12-31 13:02 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 69 楼感染是感染成功了, 不过感染Beep.sys后, 系统马上会替换回... 2008-1-6 22:24 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 70 楼去掉WFP 2008-1-7 10:50 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 71 楼是我没看仔细, 前面有提示的. -_-!! yanxizhen? yanxizhen.spaces.live.com是不是您的blog? 以前经常看的, 可好象有一段时间不能访问了. 2008-1-7 17:30 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 72 楼是我没看仔细, 前面有提示的. -_-!! yanxizhen? yanxizhen.spaces.live.com是不是您的blog? 以前经常看的, 可好象有一段时间不能访问了. 2008-1-7 17:48 0
bainupt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bainupt 73 楼学习！好复杂啊... 2008-1-16 01:13 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 74 楼看雪人才济济，有很多高手深藏不露。 2008-1-16 12:22 0
波澜不惊雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	波澜不惊 75 楼写的不错就是不懂 2008-1-23 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老Y

发帖

147

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (100) ◀ 1 2 3 4 5 ▶
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 51 楼谢谢vxk的共享。请教下vxk大侠，DriverEntry中的ulNewEntryPointDelta变量在计算后是一个0xfffff8a0,负值哦，在你那里是这样吗？还有ulBodySize = ulEndAddr - (ulDelta + (ULONG)g_wszNtoskrnl)+0x30;计算后也是0xffffa2c这样的负值，导致NtWriteFile失败，怎么解决的啊：（请大侠抽空帮小辈解决下疑难啊 2007-12-20 22:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 52 楼学习了，原来KGetStartAddr()是忽悠人的 2007-12-20 23:39 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 53 楼头文件自己写写就行了，难道非要手把手的。。。附件删除，避免f5出来的麻烦 2007-12-21 00:57 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 54 楼 [QUOTE=cvcvxk;393711]WCHAR g_wszNtoskrnl[] = L"ntoskrnl.exe";这个太邪恶~，推荐方法就是直接搜索ntos比较好，一般在psploadedmodulelist的第一个就是ntosxxxx.exe的开始[/QUOTE] 我这也是搜PsLoadedModuleList，直接用第N个这样的判断不太安全 2007-12-21 00:59 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 55 楼有时候因为编译器的原因，全局数据并不会存放在KGetStartAddr函数后面，所以可以简单的处理一下，如比较KGetStartAddr（）的返回值和最开始的一个全局变量的地址，小的那个就是StartAddr,这点是我的疏忽了，在文章里忘记说了：（ 2007-12-21 01:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 56 楼我的这个代码感染的beep文件的idb，也上传一个算了~哈哈~~我的感染很成功啊~~ 上传的附件： ff.rar （28.57kb，86次下载） 2007-12-21 01:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 57 楼成功感染后的文件，也上传一份算了~嘿嘿~ 去掉附件，避免被坏人利用了~ 2007-12-21 01:06 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 58 楼用drivermoniter加载后，ff驱动很稳定哦~，别忘先net stop beep,然后加载这个玩意~ 感染null也很成功，带文件枚举的我就不放了，太邪恶了~ 2007-12-21 01:07 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 59 楼晕，老V，你太邪恶了，我删除一简单的KPELIB结构声明和不上传bin原因就是不想让坏人利用了，你。。。。。 2007-12-21 01:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 60 楼明白了，马上改帖子~ 2007-12-21 01:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 61 楼把所有的编译优化都关闭就可以放心用全局变量或者KGetStartAddr了~ 负数...没有啊~我感染成功拉拉~~ 2007-12-21 01:23 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 62 楼为可怜滴beep和null默哀~~~~ null其实很简单,偶们可以自己实现,然后XX 2007-12-21 08:19 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 63 楼老v的idb里面也没用KGetStartAddr 2007-12-21 09:20 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 64 楼试验感染 XX病毒的nvmini.sys也成功了~ 2007-12-21 12:49 0
Mike1234567890 雪币： 405 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 0 关注私信	Mike1234567890 65 楼虽然驱动还明白但是看到了一种思路谢谢 2007-12-21 22:07 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 66 楼看了半天我的盲还是没扫掉^_^ 2007-12-31 11:02 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 67 楼好东西收藏了…… 2007-12-31 12:13 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 68 楼有时间在看了，好贴 2007-12-31 13:02 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 69 楼感染是感染成功了, 不过感染Beep.sys后, 系统马上会替换回... 2008-1-6 22:24 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 70 楼去掉WFP 2008-1-7 10:50 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 71 楼是我没看仔细, 前面有提示的. -_-!! yanxizhen? yanxizhen.spaces.live.com是不是您的blog? 以前经常看的, 可好象有一段时间不能访问了. 2008-1-7 17:30 0
WinDbg 雪币： 222 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	WinDbg 72 楼是我没看仔细, 前面有提示的. -_-!! yanxizhen? yanxizhen.spaces.live.com是不是您的blog? 以前经常看的, 可好象有一段时间不能访问了. 2008-1-7 17:48 0
bainupt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	bainupt 73 楼学习！好复杂啊... 2008-1-16 01:13 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 74 楼看雪人才济济，有很多高手深藏不露。 2008-1-16 12:22 0
波澜不惊雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	波澜不惊 75 楼写的不错就是不懂 2008-1-23 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复