[原创]调试某驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]调试某驱动

发表于: 2008-8-27 20:49 14089

[原创]调试某驱动

softworm

2008-8-27 20:49

14089

调试某驱动

写个驱动,观察某驱动的运行,学学驱动而已。先注册映像加载通知例程。

PsSetLoadImageNotifyRoutine(LoadImageNotify);

VOID LoadImageNotify (
    PUNICODE_STRING FullImageName, 
    HANDLE ProcessId, 
    PIMAGE_INFO ImageInfo
    )
{
    ANSI_STRING asImageName;
    PCHAR       Delimiter;
    NTSTATUS    Status;
    ULONG       Base;
    ULONG       Entry;
    ULONG       Patch;
    ULONG       i;
     
     
    RtlUnicodeStringToAnsiString(&asImageName, FullImageName, TRUE);
     
    if (!ImageInfo->SystemModeImage)
    {
        goto __End; //不是驱动
    }
     
    Delimiter = strrchr(asImageName.Buffer, '\\');
    if (Delimiter == NULL)
        goto __End;
     
    Delimiter++;
     
    if( _strnicmp(Delimiter,"xxx.sys",strlen("xxx.sys")) != 0)
        goto __End;
 
    Base = (ULONG)ImageInfo->ImageBase;
                 
    DbgPrint("%s Loaded, MappingAddress=%08X, Size=%08X\n",
         asImageName.Buffer,
         ImageInfo->ImageBase,
         ImageInfo->ImageSize );
     
 
    //这里地址直接硬编码了,可以分析PE文件及使用反汇编引擎(原代码的地址删了,表找我麻烦)
 
    // 原驱动DriverEntry出口:
    //  leave
    //  retn    8
    // 
    // 
 
    Entry = Base + 0x1111;
    Patch = Base + 0x2222;
    g_ReturnAddress = Base + 0x3333;
 
    if (!(*(PULONG)Entry == 0x83EC8B55 &&  *(PUCHAR)(Entry+5) == 0x14)) //检查Entry
    {
        DbgPrint("Mismatched Entry!\n");
        goto __End;
    }
 
    if (*(PULONG)Patch != 0x0008C2C9)
    {
        DbgPrint("Mismatched Patch Point!\n");
        goto __End;
    }
 
    __asm
    {
        CLI
        MOV   EAX, CR0
        AND   EAX, NOT 10000H   //disable WP bit
        MOV   CR0, EAX
    }
 
    *(PUCHAR)Entry = 0xE9;
    *(PULONG)(Entry+1) = (ULONG)&SaveDriverObject - (Entry+5);
 
    *(PUCHAR)Patch = 0xE9;
    *(PULONG)(Patch+1) = (ULONG)&ReplaceDispatch - (Patch+5);
     
 
    __asm
    {
        MOV   EAX, CR0
        OR    EAX, 10000H   //enable WP bit
        MOV   CR0, EAX
        STI
    }
     
__End:
    RtlFreeAnsiString(&asImageName);
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

#调试逆向

收藏・16

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-4 00:40

伟叔叔

为你点赞~

2023-11-15 00:03

QinBeast

为你点赞~

2023-8-22 02:55

PLEBFE

为你点赞~

2023-8-22 00:14

shinratensei

为你点赞~

2023-7-30 04:51

心游尘世外

为你点赞~

2023-7-19 03:49

飘零丶

为你点赞~

2023-7-8 00:24

最新回复 (25) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 IRP Hook 2008-8-27 20:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼最近老梦见跟饭岛爱一起吃饭。 2008-8-27 23:17 0
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼你还梦见冬日娜了吧 2008-8-27 23:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼梦见你和冬日娜在旁边吃饭。 2008-8-27 23:35 0
liuhaochua 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	liuhaochua 6 楼 NP 又见 NP 2008-8-28 06:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 67 关注私信	sudami 25 7 楼学习～  2008-8-28 07:19 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼支持这种放血! 2008-8-28 07:29 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼加载自己的驱动站住坑很暴力哇.. if (!((PULONG)Entry == 0x83EC8B55 && (PUCHAR)(Entry+5) == 0x14)) //检查Entry 不错还有入口点的匹配检测 2008-8-28 08:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼 SM的贴子要学习 2008-8-28 09:05 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 11 楼跟～着～学～ 2008-8-28 11:08 0
combojiang 雪币： 321 活跃值： (276) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 12 楼 good,学习 2008-8-28 12:08 0
hacktobe 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	hacktobe 13 楼支持学习 2008-8-28 16:56 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 108 关注私信	ccfer 16 14 楼看懂了一行: __emit 0xC9 //VC6的汇编不支持leave 2008-8-28 17:16 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 15 楼不错，很少看到naked啦啦~~ 2008-8-28 17:56 0
xss 雪币： 471 活跃值： (4651) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 16 楼一群大牛上青天..................... 2008-8-28 18:58 0
cater 雪币： 109 活跃值： (608) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 @加入神教欧阳眼睛还好么？ 2008-8-28 22:48 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 18 楼不懂 hook ,如何调试，谁告诉我？谢谢 2008-8-29 13:36 0
xianboabcd 雪币： 474 活跃值： (126) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 126 粉丝 0 关注私信	xianboabcd 19 楼真牛啊!!学习学习! 2008-8-29 14:06 0
popeylj 雪币： 360 活跃值： (92) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 20 楼一定要学学驱动了 2008-8-30 00:13 0
linhanshi 雪币： 102731 活跃值： (201839) 能力值： (RANK：10 ) 在线值：发帖 9291 回帖 28002 粉丝 472 关注私信	linhanshi 21 楼 support. 2008-8-30 10:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 22 楼很不错。学习 2008-8-31 16:12 0
smartsl 雪币： 120 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 1 关注私信	smartsl 23 楼这个要学习一下。 2008-9-1 13:08 0
SkyJack 雪币： 311 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 24 楼好文,学习ing. 2008-9-1 23:54 0
xianboabcd 雪币： 474 活跃值： (126) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 126 粉丝 0 关注私信	xianboabcd 25 楼学习！谢谢！ 2008-9-26 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 IRP Hook 2008-8-27 20:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼最近老梦见跟饭岛爱一起吃饭。 2008-8-27 23:17 0
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 4 楼你还梦见冬日娜了吧 2008-8-27 23:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼梦见你和冬日娜在旁边吃饭。 2008-8-27 23:35 0
liuhaochua 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	liuhaochua 6 楼 NP 又见 NP 2008-8-28 06:06 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 67 关注私信	sudami 25 7 楼学习～  2008-8-28 07:19 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 8 楼支持这种放血! 2008-8-28 07:29 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼加载自己的驱动站住坑很暴力哇.. if (!((PULONG)Entry == 0x83EC8B55 && (PUCHAR)(Entry+5) == 0x14)) //检查Entry 不错还有入口点的匹配检测 2008-8-28 08:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼 SM的贴子要学习 2008-8-28 09:05 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 11 楼跟～着～学～ 2008-8-28 11:08 0
combojiang 雪币： 321 活跃值： (276) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 12 楼 good,学习 2008-8-28 12:08 0
hacktobe 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	hacktobe 13 楼支持学习 2008-8-28 16:56 0
ccfer 雪币： 8209 活跃值： (4559) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 108 关注私信	ccfer 16 14 楼看懂了一行: __emit 0xC9 //VC6的汇编不支持leave 2008-8-28 17:16 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 15 楼不错，很少看到naked啦啦~~ 2008-8-28 17:56 0
xss 雪币： 471 活跃值： (4651) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 16 楼一群大牛上青天..................... 2008-8-28 18:58 0
cater 雪币： 109 活跃值： (608) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 @加入神教欧阳眼睛还好么？ 2008-8-28 22:48 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 18 楼不懂 hook ,如何调试，谁告诉我？谢谢 2008-8-29 13:36 0
xianboabcd 雪币： 474 活跃值： (126) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 126 粉丝 0 关注私信	xianboabcd 19 楼真牛啊!!学习学习! 2008-8-29 14:06 0
popeylj 雪币： 360 活跃值： (92) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 20 楼一定要学学驱动了 2008-8-30 00:13 0
linhanshi 雪币： 102731 活跃值： (201839) 能力值： (RANK：10 ) 在线值：发帖 9291 回帖 28002 粉丝 472 关注私信	linhanshi 21 楼 support. 2008-8-30 10:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 22 楼很不错。学习 2008-8-31 16:12 0
smartsl 雪币： 120 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 1 关注私信	smartsl 23 楼这个要学习一下。 2008-9-1 13:08 0
SkyJack 雪币： 311 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 24 楼好文,学习ing. 2008-9-1 23:54 0
xianboabcd 雪币： 474 活跃值： (126) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 126 粉丝 0 关注私信	xianboabcd 25 楼学习！谢谢！ 2008-9-26 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]调试某驱动

账号登录 验证码登录

账号登录

验证码登录