[分享]SDTrestore Version 0.2 学习注释存档-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]SDTrestore Version 0.2 学习注释存档

发表于: 2008-1-12 10:42 14692

[分享]SDTrestore Version 0.2 学习注释存档

sudami

2008-1-12 10:42

14692

BOOL
LoadPE (
char *exePtr,
MZHeader *inMZ,
PE_Header *inPE,
PE_ExtHeader *inpeXH,
SectionHeader *inSecHdr,
LPVOID ptrLoc
)

/*++

学习者: sudami [[email]xiao_rui_119@163.com[/email]]
时间 : 08/01/11

功能:
加载从磁盘读取的文件到内存,需要自己对齐

<PE加载到内存对齐后的示意图>
所有文件头节节 ... 节N
------------------------------------------------
|aa...aa######| a...a##| a...a###| ... | a...a##|
------------------------------------------------
注: a 表示实际数据; # 表示空隙,是内存中对齐后留出的空隙

参数:
exePtr - PE文件在磁盘中时起始的地址.还没有经过对齐.所以需要把它映射到内存

modulePos - [IN] 将磁盘上的文件读出来后,映射到进程的虚拟地址空间中,对齐后得到其起始地址.

outMZ - [OUT] 保存MZ头 IMAGE_DOS_HEADER

outPE - [OUT] 保存PE头 IMAGE_FILE_HEADER

outpeXH - [OUT] 保存扩展PE头 IMAGE_OPTIONAL_HEADER

outSecHdr - [OUT] 2级指针,保存Section头 IMAGE_SECTION_HEADER

ptrLoc - 根据内存中PE的大小调用HeapAlloc而分配的一块空闲内存区域.

返回: TRUE

--*/
{
char *outPtr = (char *)ptrLoc;

// 把所有文件头的数据全部拷贝到ptrLoc指向的地址处
// 然后地址按照PE在内存中的对齐方式往后挪
memcpy (outPtr, exePtr, inpeXH->sizeOfHeaders);
outPtr += GetAlignedSize (inpeXH->sizeOfHeaders, inpeXH->sectionAlignment);

// 拷贝所有的节数据到新的地址处. 复制的时候要知道每个节在文件中的实际大小.而不是在内存在对齐后的大小
for (int i = 0; i < inPE->numSections; i++) {

if (inSecHdr.sizeOfRawData > 0) { // sizeOfRawData 是节对齐后的长度
ULONG toRead = inSecHdr.sizeOfRawData;

if (toRead > inSecHdr.virtualSize) {
toRead = inSecHdr.virtualSize;
}

// 拷贝没个节的实际数据,然后把指针挪到每个节在内存中对齐后的位置处
memcpy (outPtr, exePtr + inSecHdr.pointerToRawData, toRead);

outPtr += GetAlignedSize (inSecHdr.virtualSize, inpeXH->sectionAlignment);
}
}

return true;
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

RecoverSSDT.rar （25.63kb，658次下载）

收藏・10

免费・7

支持

最新回复 (40) 1 2 ▶
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 2 楼 [QUOTE=;]...[/QUOTE] 好东西!!!!!!!!!! 2008-1-12 12:51 0
liuzewei 雪币： 324 活跃值： (91) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 65 粉丝 6 关注私信	liuzewei 3 3 楼 sudami~~~```排版很好！呵呵！ 2008-1-12 13:14 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 4 楼注释的不错 . 2008-1-12 19:04 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 5 楼支持，要是有兄弟们有时间把好代码都这样学习一遍并重构水平一定会大增 2008-1-12 22:44 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 6 楼爱死你了 2008-1-12 23:19 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 7 楼好，学习。。。 2008-1-12 23:37 0
sislcb 雪币： 266 活跃值： (60) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 136 粉丝 6 关注私信	sislcb 7 8 楼呵呵，大米很强！ 2008-1-13 09:17 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 9 楼收了，原来RING3下也可以恢复SSDT 以前一直以为需要写驱动呢 2008-1-13 09:23 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 10 楼 DWORD myStrlenA (char ptr) { DWORD len = 0; while(ptr) { len++; ptr++; } return len; } 这个函数不就是获取字符串的长度，为什么不用MS的呢，要自己写一个？？？？ 2008-1-13 09:44 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼这个。。。呵呵,如果函数能尽量自己实现就自己实现. 老Y大牛那个驱动感染里面也是这样的.根本没用M$ SDK里面提供的那些字符串比较函数,都是自己写的,然后调用. 偶觉得这样比较好~ 2008-1-13 09:53 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 12 楼俺想问楼主一个和这个主题无关的问题：如果一个磁盘物理文件无法删除，我想如何能知道无法删除的原因如果是注入，那么它究竟注入到哪些进程当中了（有点类似UNLOCKER的实现原理） 2008-1-13 09:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼占炕啦. 要删除正在运行的文件,网上方法很多. 1.你可以使用自己给fsd发送irp请求来删除文件，或者用HOOK MmFlushImageSection等方法,详细见xikug等人逆向的360FileKill的驱动代码 2.使用DeviceIoControl调用驱动文件，或使用事件、共享内存等方法亦可 3. 关闭所有被打开的句柄,参见"被占用文件操作三法" ... google啊google~ 2008-1-13 10:12 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 14 楼还想问个问题你提供下载的目录里的RELEASE里的EXE文件在我的XP下无法运行 2008-1-13 10:20 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 15 楼非常感谢虽然知道放狗，可是有些时候关键词找不准，很多时候，搜不到点子上 2008-1-13 10:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼好奇怪啊.偶在自己的虚拟机上也不能运行,但在自己电脑上可以运行. 上传的附件： Snap1.gif （10.07kb，200次下载） 2008-1-13 10:29 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 17 楼 hips,2k3 sp1之类的都封了PhysicalMemory 2008-1-13 13:08 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 18 楼搭车问一下，HIPS是什么，总是能看到这个单词 2008-1-13 13:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 19 楼哎，典型的被动学习型。 google是最好的老师。不能太懒啊 -------------------------------------- Host Intrusion Prevent System 2008-1-13 13:45 0
jdcgzb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jdcgzb 20 楼看了楼主的这份讲解，对rootkit似乎了解得更深一层了。 2008-1-15 13:59 0
sysnotdown 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	sysnotdown 21 楼对vista没有用, 各位别浪费时间了. XP迟早淘汰 2008-6-8 14:54 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 22 楼哪位仁兄解释哈这段嘛 else if(gWinVersion == 1 && ((unsigned char )apiAddr) == 0xB8 && ((unsigned char )apiAddr + 5) == 0xBA && ((unsigned char )apiAddr + 6) == 0x00 && ((unsigned char )apiAddr + 7) == 0x03 && ((unsigned char )apiAddr + 8) == 0xFE && ((unsigned char )apiAddr + 9) == 0x7F) 2009-5-4 14:51 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 23 楼暴搜时的特征码匹配 2009-5-4 17:19 0
zhangkexie 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhangkexie 24 楼认真看看学习下 2009-5-4 17:45 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 25 楼 achillis 能说一下这些特征码是从哪来的，怎么知道用这特征码来搜索 2009-5-7 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudami

发帖

1581

回帖

1010

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 2 楼 [QUOTE=;]...[/QUOTE] 好东西!!!!!!!!!! 2008-1-12 12:51 0
liuzewei 雪币： 324 活跃值： (91) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 65 粉丝 6 关注私信	liuzewei 3 3 楼 sudami~~~```排版很好！呵呵！ 2008-1-12 13:14 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 4 楼注释的不错 . 2008-1-12 19:04 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 5 楼支持，要是有兄弟们有时间把好代码都这样学习一遍并重构水平一定会大增 2008-1-12 22:44 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 6 楼爱死你了 2008-1-12 23:19 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 7 楼好，学习。。。 2008-1-12 23:37 0
sislcb 雪币： 266 活跃值： (60) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 136 粉丝 6 关注私信	sislcb 7 8 楼呵呵，大米很强！ 2008-1-13 09:17 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 9 楼收了，原来RING3下也可以恢复SSDT 以前一直以为需要写驱动呢 2008-1-13 09:23 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 10 楼 DWORD myStrlenA (char ptr) { DWORD len = 0; while(ptr) { len++; ptr++; } return len; } 这个函数不就是获取字符串的长度，为什么不用MS的呢，要自己写一个？？？？ 2008-1-13 09:44 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼这个。。。呵呵,如果函数能尽量自己实现就自己实现. 老Y大牛那个驱动感染里面也是这样的.根本没用M$ SDK里面提供的那些字符串比较函数,都是自己写的,然后调用. 偶觉得这样比较好~ 2008-1-13 09:53 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 12 楼俺想问楼主一个和这个主题无关的问题：如果一个磁盘物理文件无法删除，我想如何能知道无法删除的原因如果是注入，那么它究竟注入到哪些进程当中了（有点类似UNLOCKER的实现原理） 2008-1-13 09:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼占炕啦. 要删除正在运行的文件,网上方法很多. 1.你可以使用自己给fsd发送irp请求来删除文件，或者用HOOK MmFlushImageSection等方法,详细见xikug等人逆向的360FileKill的驱动代码 2.使用DeviceIoControl调用驱动文件，或使用事件、共享内存等方法亦可 3. 关闭所有被打开的句柄,参见"被占用文件操作三法" ... google啊google~ 2008-1-13 10:12 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 14 楼还想问个问题你提供下载的目录里的RELEASE里的EXE文件在我的XP下无法运行 2008-1-13 10:20 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 15 楼非常感谢虽然知道放狗，可是有些时候关键词找不准，很多时候，搜不到点子上 2008-1-13 10:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼好奇怪啊.偶在自己的虚拟机上也不能运行,但在自己电脑上可以运行. 上传的附件： Snap1.gif （10.07kb，200次下载） 2008-1-13 10:29 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 17 楼 hips,2k3 sp1之类的都封了PhysicalMemory 2008-1-13 13:08 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 18 楼搭车问一下，HIPS是什么，总是能看到这个单词 2008-1-13 13:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 19 楼哎，典型的被动学习型。 google是最好的老师。不能太懒啊 -------------------------------------- Host Intrusion Prevent System 2008-1-13 13:45 0
jdcgzb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	jdcgzb 20 楼看了楼主的这份讲解，对rootkit似乎了解得更深一层了。 2008-1-15 13:59 0
sysnotdown 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	sysnotdown 21 楼对vista没有用, 各位别浪费时间了. XP迟早淘汰 2008-6-8 14:54 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 22 楼哪位仁兄解释哈这段嘛 else if(gWinVersion == 1 && ((unsigned char )apiAddr) == 0xB8 && ((unsigned char )apiAddr + 5) == 0xBA && ((unsigned char )apiAddr + 6) == 0x00 && ((unsigned char )apiAddr + 7) == 0x03 && ((unsigned char )apiAddr + 8) == 0xFE && ((unsigned char )apiAddr + 9) == 0x7F) 2009-5-4 14:51 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 23 楼暴搜时的特征码匹配 2009-5-4 17:19 0
zhangkexie 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhangkexie 24 楼认真看看学习下 2009-5-4 17:45 0
Tesla 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	Tesla 25 楼 achillis 能说一下这些特征码是从哪来的，怎么知道用这特征码来搜索 2009-5-7 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复