[原创]内核模式下另类装载驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内核模式下另类装载驱动

发表于: 2008-4-7 12:57 16981

[原创]内核模式下另类装载驱动

HSQ

活跃值

8

2008-4-7 12:57

16981

再次灌水了虽然技术有点老了，但是了解还是有必要的。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

不通过注册表, 在内核模式下装载驱动和原生态应用程序.pdf （136.71kb，648次下载）
不通过注册表, 在内核模式下装载驱动和原生态应用程序.png （187.96kb，2250次下载）
Loading drivers and Native applications from kernel mode, without touching registry.rar （111.37kb，576次下载）

收藏・14

免费・7

支持

分享

最新回复 (9)
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 2 楼学习一下。。。。 2008-4-7 13:20 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 3 楼坐板凳学习了 2008-4-7 13:39 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 4 楼这是一个母鸡与蛋的问题，因为他这个说明本身就是要从内核态加载一个驱动，那么这个启动源也得使用注册表来加载。 2008-4-7 14:05 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 5 楼 NtSetSystemInformation里面就是调用MmLoadSystemImage 来加载驱动的。 2008-4-7 14:26 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 6 楼 NtSetSystemInformation 装载驱动不稳定有的时候我一开机用这个加载下驱动就会蓝看了下书可能是因为驱动驻留的内存被换出到磁盘上（page out），对他的任何访问都会蓝下面是书上的加载驱动的代码 #include "stdafx.h" #include "windows.h" #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) #define SystemLoadAndCallImage 38 typedef unsigned long NTSTATUS; typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PVOID Buffer; } UNICODE_STRING, PUNICODE_STRING; typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE { UNICODE_STRING ModuleName; } SYSTEM_LOAD_AND_CALL_IMAGE, PSYSTEM_LOAD_AND_CALL_IMAGE; typedef DWORD (CALLBACK* ZWSETSYSTEMINFORMATION)(DWORD, PVOID, ULONG); ZWSETSYSTEMINFORMATION ZwSetSystemInformation; typedef DWORD (CALLBACK* RTLINITUNICODESTRING)(PUNICODE_STRING,PCWSTR ); RTLINITUNICODESTRING RtlInitUnicodeString; typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD); RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString; bool load_sysfile() { SYSTEM_LOAD_AND_CALL_IMAGE GregsImage; WCHAR daPath[] = L"\\??\\C:\\MIGBOT.SYS"; ////////////////////////////////////////////////////////////// // get DLL entry points ////////////////////////////////////////////////////////////// if( !(RtlInitUnicodeString = (RTLINITUNICODESTRING) GetProcAddress( GetModuleHandle("ntdll.dll") ,"RtlInitUnicodeString" ))) { return false; } if(!(ZwSetSystemInformation = (ZWSETSYSTEMINFORMATION) GetProcAddress( GetModuleHandle("ntdll.dll") ,"ZwSetSystemInformation" ))) { return false; } RtlInitUnicodeString( &(GregsImage.ModuleName) ,daPath ); if( !NT_SUCCESS( ZwSetSystemInformation( SystemLoadAndCallImage ,&GregsImage ,sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)))) { return false; } return true; } int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } 2008-4-7 15:05 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 7 楼既然都进了内核还用这么烦自己Alloc内存,自己加载,自己填充个DriverObject得了 2008-4-11 09:16 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 8 楼是啊，搞的这么麻烦，还不如在内核里面加载一个DLL 使用APC或者Hook，将代码从内核转到上层。 2008-4-11 09:38 0
letokmz 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	letokmz 9 楼同感,关键不是进了内核之后怎么干,而是怎么进内核 2008-5-6 15:43 0
reebox 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	reebox 10 楼学习一下，谢谢 2008-6-11 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

HSQ

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//