[讨论]驱动的加载 - 如何绕过主动防卸-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]驱动的加载 - 如何绕过主动防卸

发表于: 2008-11-9 20:11 18055

[讨论]驱动的加载 - 如何绕过主动防卸

瀑泪

2008-11-9 20:11

18055

NT式驱动程序, 平常的(也就是你能在正规书本上看到的)加载方法, 就是OpenSCManager、CreateService、OpenService、StartService；

偏门一点的，来自很古老的书《ROOTKITS - windows内核的安全防护》里说过一种方法，system load and call image，不过我随便试了一下没成功(要研究一下)；

杀毒软件，终于认真对待驱动这样东西了；较新点的杀毒软件，主动防御系统都把加载驱动纳入了监视范围；

大家讨论一下如何绕过主动防御来加载驱动(替换文件的方法不算)；

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

收藏・10

免费・0

支持

最新回复 (47) 1 2 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼不告诉你.也不必讨论. 知道的人肯定不会把方法说出来,不知道的人只能意淫. 做点正规的东西多好,天天想着歪门邪道. fuck 2008-11-9 20:15 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 3 楼就你这素质，整天动不动就fuck来fuck去，fuck你妈啊？有对弈，才有进步；照你这样说，凡是对杀毒软件不利的技术，一律都应该停止？那么那些工程师门整天上网玩游戏去了，整天不思进取； 2008-11-9 20:29 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼 sudami, 刚查了你发的贴, 发现你发的贴子全是什么内核注入DLL, 干掉杀毒软件,驱动感染, .... 你竟然还在这里厚颜无耻地说: 做点正规的东西多好,天天想着歪门邪道. , 你是不是精神错乱了? 2008-11-9 20:36 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼我还是把 SB 2个字去掉吧, 不骂你了,没意思. 继续学习去咯~~ 2008-11-9 20:38 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 6 楼《ROOTKITS - windows内核的安全防护》有段例子代码就是非常规载入，我试过可以的，我忘了是哪个例子…… 2008-11-10 09:47 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 7 楼原来论坛里是可以骂人的啊 2008-11-10 10:29 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 8 楼 sudami确实过分了... 2008-11-10 12:55 0
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 9 楼 system load and call image我前几天试过了。。。。按QIQI大大的说法是要自己开辟一个不分页内存空间把代码copy进去，然后代码重定向，可以成功的，不过相当不稳定，很容易蓝。。可能是咱自己的问题 2008-11-10 13:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 10 楼大家来打击我吧.嘿嘿,我很贱,而且越是被打击,学习效率越高. 2008-11-10 14:28 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 11 楼 sudami在我心里相当有地位，他的大部分帖我都看过他的帖不太合初学者看的，因为他没有给出完整的代码这对我们初学者是相当的打击，他的帖最合有一定水平的人看而有一定水平的人呢又相互保留，谈不上互相学习，多数是自已研究他有很多技术性的研究，sudami每学到新的技术时就会把快要过时的技术发一帖让我们去模拜一下。性格上我不喜欢他，技术上我也不喜他但有一种我喜欢，就是我们是初学者，只有他会看我们发的帖，也会说上一二句起码他会关注我们这些初学者，就这点我们得感谢他。 LZ要是想要另外的加载驱动源码，在看雪搜一下，会找到的，要是找不到你联系我我会跟着学习sudami老的技术，他发的文章以前看不懂，现在能看懂些了。他没完整的代码我尽量去补完。 2008-11-10 15:14 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 12 楼该不明白的，给源码也不明白。当然拿着做坏事倒是可以的 2008-11-10 15:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼 beep，beep~~~ null,null~~~ pagefile.sys,pagefile.sys ntXX.sys,ntXX.sys win32k.sys win32k.sys~~ loadXX patch routine XXX fuck dod xxx ring0 exploit XXXXX GDIPlusDrv~~~ NV显卡增强DLL~~ ATI外挂模块接口~~ XXXXXX~~~ 方法太多~~ 仅为提示，具体 10W USD奉上，马上告诉你~ 2008-11-10 15:39 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼老V大放血啊~ 2008-11-10 15:51 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 15 楼大米的能力毋庸置疑，而且这确实也不是什么光明正大的话题。另外一点，不同产品的主动防御实现方法都有所不同，即便是忽悠过了现有的，出个专杀也不是什么不可能实现的任务。有时间浪费在写病毒上不如去干点合法的事情，不然也许有一天一不留神也把自己送进去了。 2008-11-10 16:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼此帖因为某某原因,很火很强大~~~~~ VXK又开始意淫了啊~~~~~~~ 2008-11-10 17:29 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 17 楼有时候啊,我就在想: 比起那些在网上抄资料,然后七拼八凑拿到<黑客防线>骗稿费的, 我们这些菜鸟在kanxue大家庭里发点原创技术文章,还是比较厚道的. 无论是邪恶的啊,还是正规的啊,都是思路在这,点到即可,怕是被流氓们直接A走了,就祸害大了.. 但像此帖的问题,明显找骂呀,谁会告诉你过主防的思路 or 代码?人家是吃多了撑着了,还是装B没装够呢? 坏人自己留一手,做木马病毒就能 10万/月; 好人留一手,防止木马祸害大众, 告诉你干么? 做坏事还明目张胆, 我靠,很挫很强大~~~~~ 2008-11-10 17:40 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 18 楼这是我在看雪看过的火药味最浓的一贴～～！！！！ 2008-11-10 17:49 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 19 楼楼上的哪个是大米? 大米应该是dummy 2008-11-10 17:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 20 楼 LS的在讨论边缘问题.... 2008-11-10 17:53 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 21 楼 LS的应该叫“数大米” 2008-11-10 17:54 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 22 楼恩，就是说数大米，呵呵 2008-11-10 17:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 23 楼 14是14,40是40 "伞" 念 "san", "闪" 念 "shan" . . . "su" 念 "素', "shu" 念 "数" 2008-11-10 18:00 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 24 楼知道了，是素大米不是荤大米 2008-11-10 18:02 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 25 楼惊讶！看雪论坛可是交流学习的地方啊 2008-11-10 18:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

瀑泪

发帖

122

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼不告诉你.也不必讨论. 知道的人肯定不会把方法说出来,不知道的人只能意淫. 做点正规的东西多好,天天想着歪门邪道. fuck 2008-11-9 20:15 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 3 楼就你这素质，整天动不动就fuck来fuck去，fuck你妈啊？有对弈，才有进步；照你这样说，凡是对杀毒软件不利的技术，一律都应该停止？那么那些工程师门整天上网玩游戏去了，整天不思进取； 2008-11-9 20:29 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼 sudami, 刚查了你发的贴, 发现你发的贴子全是什么内核注入DLL, 干掉杀毒软件,驱动感染, .... 你竟然还在这里厚颜无耻地说: 做点正规的东西多好,天天想着歪门邪道. , 你是不是精神错乱了? 2008-11-9 20:36 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼我还是把 SB 2个字去掉吧, 不骂你了,没意思. 继续学习去咯~~ 2008-11-9 20:38 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 6 楼《ROOTKITS - windows内核的安全防护》有段例子代码就是非常规载入，我试过可以的，我忘了是哪个例子…… 2008-11-10 09:47 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 7 楼原来论坛里是可以骂人的啊 2008-11-10 10:29 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 8 楼 sudami确实过分了... 2008-11-10 12:55 0
草屋居士雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 124 粉丝 0 关注私信	草屋居士 9 楼 system load and call image我前几天试过了。。。。按QIQI大大的说法是要自己开辟一个不分页内存空间把代码copy进去，然后代码重定向，可以成功的，不过相当不稳定，很容易蓝。。可能是咱自己的问题 2008-11-10 13:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 10 楼大家来打击我吧.嘿嘿,我很贱,而且越是被打击,学习效率越高. 2008-11-10 14:28 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 11 楼 sudami在我心里相当有地位，他的大部分帖我都看过他的帖不太合初学者看的，因为他没有给出完整的代码这对我们初学者是相当的打击，他的帖最合有一定水平的人看而有一定水平的人呢又相互保留，谈不上互相学习，多数是自已研究他有很多技术性的研究，sudami每学到新的技术时就会把快要过时的技术发一帖让我们去模拜一下。性格上我不喜欢他，技术上我也不喜他但有一种我喜欢，就是我们是初学者，只有他会看我们发的帖，也会说上一二句起码他会关注我们这些初学者，就这点我们得感谢他。 LZ要是想要另外的加载驱动源码，在看雪搜一下，会找到的，要是找不到你联系我我会跟着学习sudami老的技术，他发的文章以前看不懂，现在能看懂些了。他没完整的代码我尽量去补完。 2008-11-10 15:14 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 12 楼该不明白的，给源码也不明白。当然拿着做坏事倒是可以的 2008-11-10 15:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼 beep，beep~~~ null,null~~~ pagefile.sys,pagefile.sys ntXX.sys,ntXX.sys win32k.sys win32k.sys~~ loadXX patch routine XXX fuck dod xxx ring0 exploit XXXXX GDIPlusDrv~~~ NV显卡增强DLL~~ ATI外挂模块接口~~ XXXXXX~~~ 方法太多~~ 仅为提示，具体 10W USD奉上，马上告诉你~ 2008-11-10 15:39 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼老V大放血啊~ 2008-11-10 15:51 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 15 楼大米的能力毋庸置疑，而且这确实也不是什么光明正大的话题。另外一点，不同产品的主动防御实现方法都有所不同，即便是忽悠过了现有的，出个专杀也不是什么不可能实现的任务。有时间浪费在写病毒上不如去干点合法的事情，不然也许有一天一不留神也把自己送进去了。 2008-11-10 16:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼此帖因为某某原因,很火很强大~~~~~ VXK又开始意淫了啊~~~~~~~ 2008-11-10 17:29 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 17 楼有时候啊,我就在想: 比起那些在网上抄资料,然后七拼八凑拿到<黑客防线>骗稿费的, 我们这些菜鸟在kanxue大家庭里发点原创技术文章,还是比较厚道的. 无论是邪恶的啊,还是正规的啊,都是思路在这,点到即可,怕是被流氓们直接A走了,就祸害大了.. 但像此帖的问题,明显找骂呀,谁会告诉你过主防的思路 or 代码?人家是吃多了撑着了,还是装B没装够呢? 坏人自己留一手,做木马病毒就能 10万/月; 好人留一手,防止木马祸害大众, 告诉你干么? 做坏事还明目张胆, 我靠,很挫很强大~~~~~ 2008-11-10 17:40 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 18 楼这是我在看雪看过的火药味最浓的一贴～～！！！！ 2008-11-10 17:49 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 19 楼楼上的哪个是大米? 大米应该是dummy 2008-11-10 17:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 20 楼 LS的在讨论边缘问题.... 2008-11-10 17:53 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 21 楼 LS的应该叫“数大米” 2008-11-10 17:54 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 22 楼恩，就是说数大米，呵呵 2008-11-10 17:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 23 楼 14是14,40是40 "伞" 念 "san", "闪" 念 "shan" . . . "su" 念 "素', "shu" 念 "数" 2008-11-10 18:00 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 24 楼知道了，是素大米不是荤大米 2008-11-10 18:02 0
compiler 雪币： 220 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 132 粉丝 0 关注私信	compiler 25 楼惊讶！看雪论坛可是交流学习的地方啊 2008-11-10 18:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复