[原创]360比赛第5题-我的解法-5)奇虎360软件安全比赛-看雪-安全社区|安全招聘|kanxue.com

[原创]360比赛第5题-我的解法

发表于: 2008-12-19 14:39 40096

[原创]360比赛第5题-我的解法

windsun

2008-12-19 14:39

40096

这题得了100分哦。

驱动加载后，直接对对IoCreateFile函数进行PATCH,

PATCH前函数为：

00010522    call    dword_10804    //  先调用原来的nt!IopCreateFile                                           
00010528    mov     [ebp+var_210], eax                                                 
0001052E    mov     eax, [ebp+var_210]                                                 
00010534    test    eax, eax                                                           
00010536    jl      short loc_105AD                                                    
00010538    mov     edx, [esi+8]                                                       
0001053B    cmp     word ptr [edx], 206h                                               
00010540    ja      short loc_105AD                                                    
00010542    cmp     dword ptr [edx+4], 0                                               
00010546    jz      short loc_105AD                                                    
00010548    cmp     word ptr [edx], 0                                                  
0001054C    jz      short loc_105AD                                                    
0001054E    mov     eax, edx                                                           
00010550    movzx   ecx, word ptr [eax]                                                
00010553    mov     esi, [eax+4]                                                       
00010556    mov     eax, ecx                                                           
00010558    shr     ecx, 2                                                             
0001055B    lea     edi, [ebp+var_20C]                                                 
00010561    rep movsd                                                                  
00010563    mov     ecx, eax                                                           
00010565    and     ecx, 3                                                             
00010568    rep movsb                                                                  
0001056A    movzx   eax, word ptr [edx]                                                
0001056D    and     [ebp+eax+var_20C], 0                                               
00010576    lea     eax, [ebp+var_20C]                                                 
0001057C    push    eax             ; wchar_t *                                        
0001057D    call    ds:_wcsupr                                                         
00010583    lea     eax, [ebp+var_20C]                                                 
00010589    mov     [esp+220h+var_220], offset a360game360game ;
 "360GAME\\360GAME.TXT"
00010590    push    eax             ; wchar_t *                                        
00010591    call    ds:wcsstr                                                          
00010597    test    eax, eax                                                           
00010599    pop     ecx                                                                
0001059A    pop     ecx                                                                
0001059B    jz      short loc_105A7                                                    
0001059D    and     dword ptr [ebx], 0                                                 
000105A0    mov     eax, 0C0000022h

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

AntiFile_by_windsun.rar （18.00kb，181次下载）

收藏・3

免费・7

支持

最新回复 (17)
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 2 楼顶一个 2008-12-19 14:41 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 3 楼我是直接请求文件 c:\360game\\360game.txt，一切搞定。MS没LZ搞那么复杂 2008-12-19 14:44 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼这题和1题的方法都很多了，见仁见智，去了花之后就很简单了，关键看想象力 2008-12-19 14:46 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 5 楼可以用你说的硬链接么？ 2008-12-19 18:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼硬链接不行，此题需要用重解析点，不过无法在非ntfs系统使用 2008-12-19 18:55 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 7 楼 c:\360game\..\360game\360game.txt 这样吧~~呵呵，明白了 2008-12-19 18:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼不是这个。。。 2008-12-19 19:05 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼期待完整解答…… 2008-12-19 19:10 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 10 楼 ZwCreate之类的没有检查参数，而IopCreateFile不接受相对路径。 CreateFile之类的又会把相对路径转换成绝对路径。 2008-12-19 19:11 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 11 楼这个我的，给大家看看。上传的附件：文件保护题.rar （72.66kb，103次下载） 2008-12-19 19:14 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 12 楼即使是使用c:\360game\..\360game\360game.txt这样的路径，路径中仍然包含 360GAME\360GAME.TXT,至少得是c:\360game\haha\..\360game.txt 2008-12-19 19:16 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 13 楼 · 2008-12-19 19:18 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 14 楼当时查资料的时候是看到可以这样 subst z: c:\360game 然后fopen()都能够打开，但是不知道为什么没成功过。不是很清楚虚拟盘的工作原理。 2008-12-19 19:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 15 楼 dosdefinedevice是可以的原理是ZwCreateSymbolicLinkObject~ 2008-12-19 19:43 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 16 楼恩啊，是滴，成功了！想想可能是因为测试之前用其他东西打开了文件。按LZ的说法是句柄被占用了。又会一招！ 2008-12-19 20:47 0
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 17 楼路径的想法我也试过，不过在路径构造上的不同导致没成功。。。。重解析点的方法学习了。 2008-12-19 22:02 0
doking 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 97 粉丝 0 关注私信	doking 18 楼学习了，我当时还想构造超长的路径，可惜也失败了。 2008-12-20 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

windsun

发帖

104

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 2 楼顶一个 2008-12-19 14:41 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 3 楼我是直接请求文件 c:\360game\\360game.txt，一切搞定。MS没LZ搞那么复杂 2008-12-19 14:44 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼这题和1题的方法都很多了，见仁见智，去了花之后就很简单了，关键看想象力 2008-12-19 14:46 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 5 楼可以用你说的硬链接么？ 2008-12-19 18:49 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼硬链接不行，此题需要用重解析点，不过无法在非ntfs系统使用 2008-12-19 18:55 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 7 楼 c:\360game\..\360game\360game.txt 这样吧~~呵呵，明白了 2008-12-19 18:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼不是这个。。。 2008-12-19 19:05 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼期待完整解答…… 2008-12-19 19:10 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 10 楼 ZwCreate之类的没有检查参数，而IopCreateFile不接受相对路径。 CreateFile之类的又会把相对路径转换成绝对路径。 2008-12-19 19:11 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 11 楼这个我的，给大家看看。上传的附件：文件保护题.rar （72.66kb，103次下载） 2008-12-19 19:14 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 12 楼即使是使用c:\360game\..\360game\360game.txt这样的路径，路径中仍然包含 360GAME\360GAME.TXT,至少得是c:\360game\haha\..\360game.txt 2008-12-19 19:16 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 13 楼 · 2008-12-19 19:18 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 14 楼当时查资料的时候是看到可以这样 subst z: c:\360game 然后fopen()都能够打开，但是不知道为什么没成功过。不是很清楚虚拟盘的工作原理。 2008-12-19 19:23 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 15 楼 dosdefinedevice是可以的原理是ZwCreateSymbolicLinkObject~ 2008-12-19 19:43 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 16 楼恩啊，是滴，成功了！想想可能是因为测试之前用其他东西打开了文件。按LZ的说法是句柄被占用了。又会一招！ 2008-12-19 20:47 0
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 17 楼路径的想法我也试过，不过在路径构造上的不同导致没成功。。。。重解析点的方法学习了。 2008-12-19 22:02 0
doking 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 97 粉丝 0 关注私信	doking 18 楼学习了，我当时还想构造超长的路径，可惜也失败了。 2008-12-20 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复