首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]关于ZwSetSystemInformation加载驱动
2009-7-14 15:03 5822

[求助]关于ZwSetSystemInformation加载驱动

yaolibing 活跃值
2009-7-14 15:03
5822
想请教下各位几个问题,1,到底能不能用ZwSetSystemInformation加载驱动,我用虚拟机调试WRK 时怎么不能加载,它说在用户模式只能加载Win32k.sys。在内核模式下才能加载驱动。
2,调试程序时,我用虚拟机能带着WRK源码调试Ntoskernel.exe的系统调用,但是我想带着源码跟踪Win32k.sys的系统调用,比如NtUserCreateWindow(),哪位能成功吗?

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞0
打赏
分享
最新回复 (5)
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2009-7-14 17:17
2
0
1. wrk是win2003的内核,2003下限制了只允许session leader加载systemroot\system32\win32k.sys

2.有符号就可以
六月
雪    币: 129
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
六月 2009-7-14 17:59
3
0
1,到底能不能用ZwSetSystemInformation加载驱动

能用ZwSetSystemInformation加载驱动,XP下我试过能加上,但很容易蓝屏,加个空驱动貌似不会蓝,什么都不干可能没问题,我看ZwSetSystemInformation加载驱动的资料,说是加载的驱动是映射在分页内存的.之前我驱动入口函数干了很多内核动作,蓝了.
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2009-7-14 19:34
4
0
没什么容易蓝屏的,只是ZwSetSystemInformation加载的驱动,位于加载者进程的会话空间中,换到其他进程空间当然会兰,在DriverEntry中做事都是没什么问题的,只要别乱HOOK就可以
六月
雪    币: 129
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
六月 2009-7-15 10:44
5
0
哈哈,谢谢MJ指点,请教下...用ZwSetSystemInformation加载的驱动是在调用者进程的会话空间中..

那么驱动中访问非分页内存是否可以?是不是不会蓝呢?我没测试过。

不过我知道HOOK肯定会蓝,因为挂钩的函数没有经过内存页切换直接访问其他过滤函数所在的内存页肯定会蓝.

不知道我这么理解对不对.
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2009-7-15 13:32
6
0
用reloadandrun就可以了
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回