[原创]大牛们都发代码了，我也来凑凑热闹吧 - 第二题-5)奇虎360软件安全比赛-看雪-安全社区|安全招聘|kanxue.com

[原创]大牛们都发代码了，我也来凑凑热闹吧 - 第二题

2008-12-19 21:59 65258

[原创]大牛们都发代码了，我也来凑凑热闹吧 - 第二题

Gmxp

2008-12-19 21:59

65258

大牛们都发代码了，我也来凑凑热闹吧~
3，4，5题没什么意思了，发下第二题的关键部分吧~
处理ndisQueryStatisticsOids细致一点就可以很好的解决其他思路的缺陷了~

NTSTATUS 
Fake_ndisQueryStatisticsOids(PVOID argv1, 
	PVOID argv2, 
	ULONG Request[], 
	ULONG RequestLen, 
	PVOID MdlAddress, 
	SIZE_T NumberOfBytes, 
	PIRP AssociatedIrp, 
	PBOOLEAN Success)
{
	NTSTATUS status;
	PVOID Process;
	ULONG i, type;
	PNetResponse Response, gPrev;
	PCHAR pCResponse;

	pCResponse = (PCHAR)MdlAddress;
	Process = (PVOID)PsGetCurrentProcess();

	if (0 == _strnicmp(MAKE_OFFSET(Process, Offset_ImageFileName), "explorer.exe", 11) && NULL != MdlAddress)
	{
		/*First, we copy a statistics*/
		if (NULL == pPreviousBuffer)
		{
			status = Real_ndisQueryStatisticsOids(argv1, argv2, Request, RequestLen, MdlAddress, NumberOfBytes, AssociatedIrp, Success);
			if (!NT_SUCCESS(status))
				return status;

			pPreviousBuffer = ExAllocatePool(NonPagedPool, NumberOfBytes);
			if (NULL == pPreviousBuffer)
				return STATUS_INSUFFICIENT_RESOURCES;
			RtlCopyMemory(pPreviousBuffer, MdlAddress, NumberOfBytes);
		}
		else
		{
			status = Real_ndisQueryStatisticsOids(argv1, argv2, Request, RequestLen, MdlAddress, NumberOfBytes, AssociatedIrp, Success);
			if (!NT_SUCCESS(status))
				return status;
			
			/*We replace some updated data here using previous statistics*/
			i = 0;
			while (i < RequestLen - 1)
			{
				Response = (PNetResponse)pCResponse;
				type = Response->Type & 0x0FFFFFFF;

				/*we should replace XMIT & RCV Statistics data*/
				if (type > 0x00020000 && type < 0x0002020D)
				{
					gPrev = (PNetResponse)((ULONG)pPreviousBuffer + (ULONG)(Response) - (ULONG)MdlAddress);
					RtlCopyMemory(&Response->Data, &gPrev->Data, Response->Length);
				}
				i++;
				pCResponse += Response->Length + 8;

				/*Some stupid input? */
				if (Response->Length > 8)
					break;
			}
		}
		return status;
	}
	else
		return Real_ndisQueryStatisticsOids(argv1, argv2, Request, RequestLen, MdlAddress, NumberOfBytes, AssociatedIrp, Success);
}

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・11

点赞・7

打赏

最新回复 (32) 1 2 ▶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-19 23:27 2 楼 0 呵呵，赞一个~~~ 要是能说说跟踪的过程就好了
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-20 00:15 3 楼 0 低调 ~
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-20 11:28 4 楼 0 是LS写的吧~~
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2008-12-20 12:36 5 楼 0 LSS为人这么低调，这个题目有必要麻烦他吗？低调~
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-20 14:37 6 楼 0 呵呵有没有麻烦他，大家心里都清楚
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-20 16:09 7 楼 0 Gmxp是我学生，这些题目的编码都是他独自完成，我作证尤其这题，挂钩ndisQueryStatisticsOids的方法我事先没说，是他自己逆出来的，并解决了Vista兼容问题。这孩子努力好学，聪明伶俐，肯吃苦爱钻研，进步很快。现在在驱动以及内核这块算得上牛人级别了，老衲看好他。广告时间：经过老衲培育，我们系又是牛人辈出啊，高中的有志少年都来报考我们学校信息安全专业吧，说不定能得到老衲真传不过再次提醒，LZ低调点，按照实验室的规章制度，防御类的东西可以公开发表，攻击类的不许公开乱发。
cvcvxk 雪币： 8861 活跃值： (2364) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2008-12-20 18:30 8 楼 0 按照制度，我们不攻击也不防御，我们做理论研究~
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 2008-12-21 19:31 9 楼 0 我也想报名你们系。。。
cvcvxk 雪币： 8861 活跃值： (2364) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2008-12-21 20:29 10 楼 0 SoBeIt是蓝蓝么？ ~~~
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-21 21:43 11 楼 0 嗯，过来当教授
sudami 雪币： 709 活跃值： (2230) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-12-21 21:47 12 楼 0 xyzreg都是导师了啊? 你们的学生好强大,带哪个学生,哪个学生就变成牛人,羡慕啊~~
sojoo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 109 粉丝 0 关注私信	sojoo 2008-12-21 21:48 13 楼 0 进来膜拜~~
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 2008-12-21 21:58 14 楼 0 哦？你也来了？低调低调。。。。话说qihoocom怎么也回技术贴了，不会是MJ吧？？你敢盗用王小姐的账号
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 69 回帖 1065 粉丝 3 关注私信	stalker 8 2008-12-21 21:59 15 楼 0 可以转学吗？
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 2008-12-21 22:00 16 楼 0 我也想报名怎么办啊
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2008-12-21 22:52 17 楼 0 ... 这帖子都变质了，呵呵
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-22 00:48 18 楼 0 信息安全，内核驱动这玩意，完全是速成的，没什么深厚的经验，花点时间精力就变大牛了~ 随便胡弄几个网站，搞搞刷广告,DDOS，小远控的，也能成中国著名黑客了随便看看WRK，抄几段代码，搞搞APC,HIVE的，也能成内核大牛了随便抓点漏洞，抓点weak-point，就觉得自己的技术远超软件厂商，价值无限了其实这些东西，只要有点底子，不浮躁，有点脑子，一个月的时间，谁都可以把什么FSD，DISK,NDIS，RK/ARK，bypass，vuln , 玩得天花乱坠~牛逼得不行。但是光靠点小聪明，是玩不长的想要玩深了，想成为能硬碰硬的人物，就不是那么简单的了。呵呵。有些人到了这个境界，有些人还差得很远。从这次比赛就可以看的出来：有纯粹忽悠的，有初生牛犊的，也有深藏不露的，基本可以分为这么三种人让我高兴的是，从这次大赛，我看到了很多以前从不认识的第三类人，膜拜+学习 ~ 另外，是不是真的技术牛逼，天下无敌，就能获得成功？这还远远不够，真要成功，技术顶多只能算上40%的因素。这里说的是实打实的、广义的技术，小聪明之类的，就免谈了。
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-22 02:23 19 楼 0 顶楼上，赞同~
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-22 02:26 20 楼 0 当然不算导师了啊，只不过帮学校做苦力培养点人而已~ 我研究生在读，混文凭的
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-12-22 08:48 21 楼 0 膜拜啊学习啊
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-22 10:09 22 楼 0 严重学习
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 801 粉丝 2 关注私信	heXer 3 2008-12-22 10:22 23 楼 0 感觉这个地方不像关键部分准确定位ndisQueryStatisticsOids,并从win2k兼容到vista++才比较关键
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-12-22 10:25 24 楼 0 严重膜拜学习ing
sudami 雪币： 709 活跃值： (2230) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-12-22 10:31 25 楼 0 此贴一群隐藏牛人.严重膜拜学习ing
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Gmxp

发帖

回帖

RANK

关注

私信

他的文章

[原创]大牛们都发代码了，我也来凑凑热闹吧 - 第一题

[原创]大牛们都发代码了，我也来凑凑热闹吧 - 第二题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2008-12-19 23:27 2 楼 0 呵呵，赞一个~~~ 要是能说说跟踪的过程就好了
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-20 00:15 3 楼 0 低调 ~
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-20 11:28 4 楼 0 是LS写的吧~~
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2008-12-20 12:36 5 楼 0 LSS为人这么低调，这个题目有必要麻烦他吗？低调~
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-20 14:37 6 楼 0 呵呵有没有麻烦他，大家心里都清楚
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-20 16:09 7 楼 0 Gmxp是我学生，这些题目的编码都是他独自完成，我作证尤其这题，挂钩ndisQueryStatisticsOids的方法我事先没说，是他自己逆出来的，并解决了Vista兼容问题。这孩子努力好学，聪明伶俐，肯吃苦爱钻研，进步很快。现在在驱动以及内核这块算得上牛人级别了，老衲看好他。广告时间：经过老衲培育，我们系又是牛人辈出啊，高中的有志少年都来报考我们学校信息安全专业吧，说不定能得到老衲真传不过再次提醒，LZ低调点，按照实验室的规章制度，防御类的东西可以公开发表，攻击类的不许公开乱发。
cvcvxk 雪币： 8861 活跃值： (2364) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2008-12-20 18:30 8 楼 0 按照制度，我们不攻击也不防御，我们做理论研究~
SoBeIt 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	SoBeIt 2008-12-21 19:31 9 楼 0 我也想报名你们系。。。
cvcvxk 雪币： 8861 活跃值： (2364) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2008-12-21 20:29 10 楼 0 SoBeIt是蓝蓝么？ ~~~
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-21 21:43 11 楼 0 嗯，过来当教授
sudami 雪币： 709 活跃值： (2230) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-12-21 21:47 12 楼 0 xyzreg都是导师了啊? 你们的学生好强大,带哪个学生,哪个学生就变成牛人,羡慕啊~~
sojoo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 109 粉丝 0 关注私信	sojoo 2008-12-21 21:48 13 楼 0 进来膜拜~~
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 2008-12-21 21:58 14 楼 0 哦？你也来了？低调低调。。。。话说qihoocom怎么也回技术贴了，不会是MJ吧？？你敢盗用王小姐的账号
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 69 回帖 1065 粉丝 3 关注私信	stalker 8 2008-12-21 21:59 15 楼 0 可以转学吗？
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 2008-12-21 22:00 16 楼 0 我也想报名怎么办啊
Gmxp 雪币： 44 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 30 粉丝 1 关注私信	Gmxp 2 2008-12-21 22:52 17 楼 0 ... 这帖子都变质了，呵呵
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-22 00:48 18 楼 0 信息安全，内核驱动这玩意，完全是速成的，没什么深厚的经验，花点时间精力就变大牛了~ 随便胡弄几个网站，搞搞刷广告,DDOS，小远控的，也能成中国著名黑客了随便看看WRK，抄几段代码，搞搞APC,HIVE的，也能成内核大牛了随便抓点漏洞，抓点weak-point，就觉得自己的技术远超软件厂商，价值无限了其实这些东西，只要有点底子，不浮躁，有点脑子，一个月的时间，谁都可以把什么FSD，DISK,NDIS，RK/ARK，bypass，vuln , 玩得天花乱坠~牛逼得不行。但是光靠点小聪明，是玩不长的想要玩深了，想成为能硬碰硬的人物，就不是那么简单的了。呵呵。有些人到了这个境界，有些人还差得很远。从这次比赛就可以看的出来：有纯粹忽悠的，有初生牛犊的，也有深藏不露的，基本可以分为这么三种人让我高兴的是，从这次大赛，我看到了很多以前从不认识的第三类人，膜拜+学习 ~ 另外，是不是真的技术牛逼，天下无敌，就能获得成功？这还远远不够，真要成功，技术顶多只能算上40%的因素。这里说的是实打实的、广义的技术，小聪明之类的，就免谈了。
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-22 02:23 19 楼 0 顶楼上，赞同~
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-12-22 02:26 20 楼 0 当然不算导师了啊，只不过帮学校做苦力培养点人而已~ 我研究生在读，混文凭的
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-12-22 08:48 21 楼 0 膜拜啊学习啊
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-22 10:09 22 楼 0 严重学习
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 801 粉丝 2 关注私信	heXer 3 2008-12-22 10:22 23 楼 0 感觉这个地方不像关键部分准确定位ndisQueryStatisticsOids,并从win2k兼容到vista++才比较关键
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-12-22 10:25 24 楼 0 严重膜拜学习ing
sudami 雪币： 709 活跃值： (2230) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-12-22 10:31 25 楼 0 此贴一群隐藏牛人.严重膜拜学习ing
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复