[原创]ring3下感染驱动->恢复ssdt-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]ring3下感染驱动->恢复ssdt

发表于: 2009-3-11 17:22 17118

[原创]ring3下感染驱动->恢复ssdt

认真的雪

2009-3-11 17:22

17118

ring3下感染驱动文件，定位内核导出函数，恢复ssdt。。。。。。。

完整代码：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

InfectSys.rar （15.58kb，265次下载）
sys.jpg （27.61kb，1528次下载）

收藏・21

免费・7

支持

最新回复 (22)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼又是感染，太没意思了 2009-3-11 19:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼呵呵. 谢谢分享. 有代码总比没有强嘛~~ 2009-3-11 20:17 0
认真的雪雪币： 49 活跃值： (12) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 20 粉丝 0 关注私信	认真的雪 1 4 楼感染也就那么回事儿。。。r3下感染定位导出函数会比较有趣。。。定位之后爱干啥干啥。。。 2009-3-11 20:57 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 5 楼大牛会的总要照顾点不会的嘛!你很强大家知道,但是论坛是一个多元化的论坛,里面有很多像我们这些菜鸟需要代码来学习的, 强顶楼主! 2009-3-11 22:03 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 6 楼代码不错收下拉！！可能我太菜了我看好象最后还是涉及加载驱动的问题呀..那样还是可能出意外的 2009-3-11 22:35 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 7 楼是有关内核程序就支持！！ 2009-3-11 23:13 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 8 楼那是你的理解而已,感染本就米什么难的，关键是对pe结构的掌握。我觉得写一个感染代码关键看的是你的代码的水准。尤其使用asm写出来的代码... 驱动文件同样pe文件格式，和感染exe dll米什么区别。。感染驱动恢复ssdt只要处理好重定位，通过查找原始表的数据后，读入然后write到系统服务描述表即可。你的增加节过程处理的有些大意： sectionHeader=(IMAGE_SECTION_HEADER)((DWORD)ntHeader+sizeof(IMAGE_NT_HEADERS)); 直接通过sizeof(IMAGE_NT_HEADERS)来定位节表，太xxx了。你能知道人家.sys米优化过，或者是通过其他的例如fasm等可以自定义pe结构的编译器编译的吗。在你米法确定数据目录段的数量的时候还是通过[NumberOfRvaAndSizes]8来定位节表...另外如果节表没有剩余空隙怎么办，其实我觉得扩展末尾节还是不错的。。 2009-3-11 23:55 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 9 楼支持楼主。。。 2009-3-12 09:23 0
skypewolf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	skypewolf 10 楼要的就是支持，感谢楼主的share精神 2009-3-12 22:45 0
sflyhm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sflyhm 11 楼请问添加到原驱动程序最后一节的代码是如何被调用的呢？谢谢！ 2009-4-24 10:10 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 12 楼 8楼果然是强人.. 2009-4-24 21:39 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 13 楼功力深厚啊 2009-5-5 16:32 0
大可雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	大可 14 楼 thanks for sharing 2009-5-29 14:57 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 15 楼学习之，8楼论述很深入精辟，谢谢楼主的分享 2009-5-29 15:13 0
echale 雪币： 205 活跃值： (12) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 101 粉丝 0 关注私信	echale 16 楼好东西就是不知道有没有修改权限呢 2009-9-14 16:27 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 17 楼停止相应服务->调用sfc_os第5号导出函数->感染驱动->开启服务. 即可. 2009-9-14 17:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼膜拜楼主 2009-9-14 18:05 0
不懂数字雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	不懂数字 19 楼学习学习 2010-3-4 10:39 0
littlewisp 雪币： 5327 活跃值： (3719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 20 楼学习了,谢谢分享 2010-3-6 22:46 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 21 楼木马里就是这么做的是吧 2010-3-7 17:31 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 22 楼呼呼，，加节那块儿确实欠缺点，， 2010-3-7 20:30 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 23 楼完全的支持。。 2010-3-8 19:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

认真的雪

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 2 楼又是感染，太没意思了 2009-3-11 19:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼呵呵. 谢谢分享. 有代码总比没有强嘛~~ 2009-3-11 20:17 0
认真的雪雪币： 49 活跃值： (12) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 20 粉丝 0 关注私信	认真的雪 1 4 楼感染也就那么回事儿。。。r3下感染定位导出函数会比较有趣。。。定位之后爱干啥干啥。。。 2009-3-11 20:57 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 5 楼大牛会的总要照顾点不会的嘛!你很强大家知道,但是论坛是一个多元化的论坛,里面有很多像我们这些菜鸟需要代码来学习的, 强顶楼主! 2009-3-11 22:03 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 6 楼代码不错收下拉！！可能我太菜了我看好象最后还是涉及加载驱动的问题呀..那样还是可能出意外的 2009-3-11 22:35 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 7 楼是有关内核程序就支持！！ 2009-3-11 23:13 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 8 楼那是你的理解而已,感染本就米什么难的，关键是对pe结构的掌握。我觉得写一个感染代码关键看的是你的代码的水准。尤其使用asm写出来的代码... 驱动文件同样pe文件格式，和感染exe dll米什么区别。。感染驱动恢复ssdt只要处理好重定位，通过查找原始表的数据后，读入然后write到系统服务描述表即可。你的增加节过程处理的有些大意： sectionHeader=(IMAGE_SECTION_HEADER)((DWORD)ntHeader+sizeof(IMAGE_NT_HEADERS)); 直接通过sizeof(IMAGE_NT_HEADERS)来定位节表，太xxx了。你能知道人家.sys米优化过，或者是通过其他的例如fasm等可以自定义pe结构的编译器编译的吗。在你米法确定数据目录段的数量的时候还是通过[NumberOfRvaAndSizes]8来定位节表...另外如果节表没有剩余空隙怎么办，其实我觉得扩展末尾节还是不错的。。 2009-3-11 23:55 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 9 楼支持楼主。。。 2009-3-12 09:23 0
skypewolf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	skypewolf 10 楼要的就是支持，感谢楼主的share精神 2009-3-12 22:45 0
sflyhm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sflyhm 11 楼请问添加到原驱动程序最后一节的代码是如何被调用的呢？谢谢！ 2009-4-24 10:10 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 12 楼 8楼果然是强人.. 2009-4-24 21:39 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 13 楼功力深厚啊 2009-5-5 16:32 0
大可雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	大可 14 楼 thanks for sharing 2009-5-29 14:57 0
microdebug 雪币： 392 活跃值： (89) 能力值： ( LV9，RANK：280 ) 在线值：发帖 23 回帖 211 粉丝 4 关注私信	microdebug 6 15 楼学习之，8楼论述很深入精辟，谢谢楼主的分享 2009-5-29 15:13 0
echale 雪币： 205 活跃值： (12) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 101 粉丝 0 关注私信	echale 16 楼好东西就是不知道有没有修改权限呢 2009-9-14 16:27 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 17 楼停止相应服务->调用sfc_os第5号导出函数->感染驱动->开启服务. 即可. 2009-9-14 17:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼膜拜楼主 2009-9-14 18:05 0
不懂数字雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	不懂数字 19 楼学习学习 2010-3-4 10:39 0
littlewisp 雪币： 5327 活跃值： (3719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 20 楼学习了,谢谢分享 2010-3-6 22:46 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 21 楼木马里就是这么做的是吧 2010-3-7 17:31 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 1 关注私信	charme 7 22 楼呼呼，，加节那块儿确实欠缺点，， 2010-3-7 20:30 0
wkaka 雪币： 135 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	wkaka 23 楼完全的支持。。 2010-3-8 19:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复