[原创]发发俺的第一题解决方案-5)奇虎360软件安全比赛-看雪-安全社区|安全招聘|kanxue.com

4

7

[原创]发发俺的第一题解决方案

发表于: 2008-12-19 13:55 42018

[原创]发发俺的第一题解决方案

zjjmjtoot

活跃值

4

2008-12-19 13:55

42018

mbrprot..sys驱动建立了一个假atapi的DriverObject和一个假DeviceObject，并以此对传过来的IRP进行处理，由于不得破坏mbrpto.sys自有流程（包括不得改写mbrprot.sys的代码，不得HOOK mbrprot.sys可能调用的系统函数等）；俺想出两种解决办法。
1、由于已说明系统有且仅有一个IDE硬盘，必须是ATA接口，因此可以得到\\Device\\Ide\\IdePort0 Device对象后直接向atapi驱动发IRP。

2、直接IO硬盘之。

3.利用SCSI_PASS_THROUGH_DIRECT写进去。

4.直接对DR0发送IRP，由于对DR0发送IRP位于的磁盘保护驱动的上端，因此会被磁盘保护驱动检查，但由于磁盘保护驱动检查的是srb->QueueSortKey，所以可以通过修改srb->QueueSortKey来绕过磁盘保护驱动，这与直接向atapi驱动发送IRP的方法不同，不是得炒冷饭。

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

第一题.rar （53.59kb，235次下载）

收藏・4

免费・7

支持

分享

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-6 01:37

伟叔叔

为你点赞~

2023-12-9 00:08

QinBeast

为你点赞~

2023-9-17 00:46

PLEBFE

为你点赞~

2023-8-27 03:04

shinratensei

为你点赞~

2023-8-20 01:10

心游尘世外

为你点赞~

2023-8-10 00:13

飘零丶

为你点赞~

2023-7-29 00:26

查看更多

最新回复 (16)
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 2 楼沙发沙发收藏了 2008-12-19 14:05 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 3 楼 zjjmjtoot大牛一共得了多少分的？ 2008-12-19 14:18 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 4 楼不知道呀，分数评委会还没定下来多嘛。 2008-12-19 14:20 0
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 5 楼把标签改下，改成原创，刚才光顾的抢沙发了，忘记说了 2008-12-19 14:27 0
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 6 楼不是提交完MJ就评分了么。。 2008-12-19 14:31 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 7 楼呵呵，中午喝了两杯。 2008-12-19 14:31 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 8 楼那评委到时又说分数没得那么多，那不是丑死人？ 2008-12-19 14:33 0
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 9 楼哇哈哈，说明肯定茫茫多。 2008-12-19 14:36 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 10 楼恩，貌似楼上第一名 2008-12-19 14:42 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 11 楼 SoBeIt牛厉害，先恭喜了 2008-12-19 14:44 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 12 楼耶？最终排名出来了？ 2008-12-19 14:47 0
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 13 楼真的假的。。。 2008-12-19 15:01 0
wdsm 雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 63 粉丝 0 关注私信	wdsm 14 楼哇塞，高手都在呀。学习一下。 2008-12-22 10:53 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 15 楼下下来看看啊 2010-11-19 15:08 0
twsyzx 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	twsyzx 16 楼这个东西新手想研究下 2010-11-29 01:17 0
syhtiepi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	syhtiepi 17 楼楼主很厉害啊 2011-1-21 19:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

zjjmjtoot

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区