[原创]调试某驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]调试某驱动

发表于: 2008-8-27 20:49 13978

[原创]调试某驱动

softworm

2008-8-27 20:49

13978

调试某驱动

写个驱动,观察某驱动的运行,学学驱动而已。先注册映像加载通知例程。

PsSetLoadImageNotifyRoutine(LoadImageNotify);

VOID LoadImageNotify (
	PUNICODE_STRING FullImageName, 
	HANDLE ProcessId, 
	PIMAGE_INFO ImageInfo
	)
{
	ANSI_STRING	asImageName;
	PCHAR		Delimiter;
	NTSTATUS	Status;
	ULONG		Base;
	ULONG		Entry;
	ULONG		Patch;
	ULONG		i;
	
	
	RtlUnicodeStringToAnsiString(&asImageName, FullImageName, TRUE);
	
	if (!ImageInfo->SystemModeImage)
	{
		goto __End; //不是驱动
	}
	
	Delimiter = strrchr(asImageName.Buffer, '\\');
	if (Delimiter == NULL)
		goto __End;
	
	Delimiter++;
	
	if( _strnicmp(Delimiter,"xxx.sys",strlen("xxx.sys")) != 0)
		goto __End;

	Base = (ULONG)ImageInfo->ImageBase;
				
	DbgPrint("%s Loaded, MappingAddress=%08X, Size=%08X\n",
		 asImageName.Buffer,
		 ImageInfo->ImageBase,
		 ImageInfo->ImageSize );
	

	//这里地址直接硬编码了,可以分析PE文件及使用反汇编引擎(原代码的地址删了,表找我麻烦)

	// 原驱动DriverEntry出口:
	// 	leave
	// 	retn    8
	// 	
	// 	

	Entry = Base + 0x1111;
	Patch = Base + 0x2222;
	g_ReturnAddress = Base + 0x3333;

	if (!(*(PULONG)Entry == 0x83EC8B55 &&  *(PUCHAR)(Entry+5) == 0x14)) //检查Entry
	{
		DbgPrint("Mismatched Entry!\n");
		goto __End;
	}

	if (*(PULONG)Patch != 0x0008C2C9)
	{
		DbgPrint("Mismatched Patch Point!\n");
		goto __End;
	}

	__asm
	{
		CLI
		MOV   EAX, CR0
		AND   EAX, NOT 10000H	//disable WP bit
		MOV   CR0, EAX
	}

	*(PUCHAR)Entry = 0xE9;
	*(PULONG)(Entry+1) = (ULONG)&SaveDriverObject - (Entry+5);

	*(PUCHAR)Patch = 0xE9;
	*(PULONG)(Patch+1) = (ULONG)&ReplaceDispatch - (Patch+5);
	

	__asm
	{
		MOV   EAX, CR0
		OR    EAX, 10000H	//enable WP bit
		MOV   CR0, EAX
		STI
	}
	
__End:
	RtlFreeAnsiString(&asImageName);
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・16

免费・7

支持

最新回复 (25) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 IRP Hook 2008-8-27 20:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼最近老梦见跟饭岛爱一起吃饭。 2008-8-27 23:17 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼你还梦见冬日娜了吧 2008-8-27 23:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼梦见你和冬日娜在旁边吃饭。 2008-8-27 23:35 0
liuhaochua 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	liuhaochua 6 楼 NP 又见 NP 2008-8-28 06:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼学习～  2008-8-28 07:19 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼支持这种放血! 2008-8-28 07:29 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼加载自己的驱动站住坑很暴力哇.. if (!((PULONG)Entry == 0x83EC8B55 && (PUCHAR)(Entry+5) == 0x14)) //检查Entry 不错还有入口点的匹配检测 2008-8-28 08:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼 SM的贴子要学习 2008-8-28 09:05 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 11 楼跟～着～学～ 2008-8-28 11:08 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 12 楼 good,学习 2008-8-28 12:08 0
hacktobe 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	hacktobe 13 楼支持学习 2008-8-28 16:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 14 楼看懂了一行: __emit 0xC9 //VC6的汇编不支持leave 2008-8-28 17:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 15 楼不错，很少看到naked啦啦~~ 2008-8-28 17:56 0
xss 雪币： 471 活跃值： (4013) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 16 楼一群大牛上青天..................... 2008-8-28 18:58 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 @加入神教欧阳眼睛还好么？ 2008-8-28 22:48 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 18 楼不懂 hook ,如何调试，谁告诉我？谢谢 2008-8-29 13:36 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 19 楼真牛啊!!学习学习! 2008-8-29 14:06 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 20 楼一定要学学驱动了 2008-8-30 00:13 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 21 楼 support. 2008-8-30 10:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 22 楼很不错。学习 2008-8-31 16:12 0
smartsl 雪币： 120 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 1 关注私信	smartsl 23 楼这个要学习一下。 2008-9-1 13:08 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 24 楼好文,学习ing. 2008-9-1 23:54 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 25 楼学习！谢谢！ 2008-9-26 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 IRP Hook 2008-8-27 20:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼最近老梦见跟饭岛爱一起吃饭。 2008-8-27 23:17 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼你还梦见冬日娜了吧 2008-8-27 23:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼梦见你和冬日娜在旁边吃饭。 2008-8-27 23:35 0
liuhaochua 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	liuhaochua 6 楼 NP 又见 NP 2008-8-28 06:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼学习～  2008-8-28 07:19 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼支持这种放血! 2008-8-28 07:29 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼加载自己的驱动站住坑很暴力哇.. if (!((PULONG)Entry == 0x83EC8B55 && (PUCHAR)(Entry+5) == 0x14)) //检查Entry 不错还有入口点的匹配检测 2008-8-28 08:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼 SM的贴子要学习 2008-8-28 09:05 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 11 楼跟～着～学～ 2008-8-28 11:08 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 12 楼 good,学习 2008-8-28 12:08 0
hacktobe 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	hacktobe 13 楼支持学习 2008-8-28 16:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 14 楼看懂了一行: __emit 0xC9 //VC6的汇编不支持leave 2008-8-28 17:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 15 楼不错，很少看到naked啦啦~~ 2008-8-28 17:56 0
xss 雪币： 471 活跃值： (4013) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 16 楼一群大牛上青天..................... 2008-8-28 18:58 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 @加入神教欧阳眼睛还好么？ 2008-8-28 22:48 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 18 楼不懂 hook ,如何调试，谁告诉我？谢谢 2008-8-29 13:36 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 19 楼真牛啊!!学习学习! 2008-8-29 14:06 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 20 楼一定要学学驱动了 2008-8-30 00:13 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 21 楼 support. 2008-8-30 10:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 22 楼很不错。学习 2008-8-31 16:12 0
smartsl 雪币： 120 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 1 关注私信	smartsl 23 楼这个要学习一下。 2008-9-1 13:08 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 24 楼好文,学习ing. 2008-9-1 23:54 0
xianboabcd 雪币： 474 活跃值： (96) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 125 粉丝 0 关注私信	xianboabcd 25 楼学习！谢谢！ 2008-9-26 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复