能力值:
( LV2,RANK:10 )
|
-
-
2 楼
坐沙发 等待 各位大牛的指点
|
能力值:
( LV12,RANK:420 )
|
-
-
3 楼
这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的
RPC通讯在各个平台上依赖的API各不相同,基本上
win2000:NtFsControlFile
xp,2003:NtRequestWaitReplyPort
vista,2008.win7 :NtAlpcSendWaitReceivePort
你需要拦截这些通讯并分析其通讯协议
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
天呐 这么麻烦呀
我还以为 会像hook ZwCreateFile那样 也钩个什么Zw函数就ok了呢
感谢 qihoocom 大牛对 偶问题的解答
3x
|
能力值:
( LV12,RANK:420 )
|
-
-
5 楼
这些都是Zw函数呀~
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我知道 都是 Zw函数
可是 涉及到协议了 听到 “协议”这词儿 就怕怕 更况且还要分析
不过还是很想知道 都涉及到哪些协议 ? 如何分析?
继续感谢 qihoocom大牛
|
能力值:
( LV3,RANK:20 )
|
-
-
7 楼
呵呵..
你要和我一样懒的话...就直接点..
把IopLoadDriver给HOOK了..或者 MmLoadImage也行..
不管是ZwLoadDriver还是SCM法.这两个地方必走的....省的还要单独处理..(说实话.这也很老套了.某杀软几百年前都用过了.)..
Hook一个就代替了上面那么多.
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
刚刚开始ring0这块儿的编程 现在暂时还只会Hook SSDT
傷遺忘 兄的方法 找ZwLoadDriver和SCM调用的共通点 确实是非常不错的主意
很赞啊
以后会更加努力hook的
|
能力值:
( LV12,RANK:420 )
|
-
-
9 楼
拦截loaddriver的话,找不到加载驱动的进程 呵呵,这是个很严重的缺陷,也是大家为什么要拦通讯的原因
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
用NtRequestWaitReplyPort 翻了一下g.cn
个人感觉 qihoocom 所说的 “分析通讯协议” 应该指的就是 分析 此函数的第二个参数
IN PLPC_MESSAGE Request 吧
根据struct _LPC_MESSAGE 中的信息 判断 这次LPC请求的内容 是否为通知services.exe创建服务
不知 偶的理解考不靠谱儿
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
_LPC_MESSAGE 中是没有什么有用信息的,信息在他后面data里面
|
能力值:
( LV3,RANK:20 )
|
-
-
12 楼
ClientId
|
能力值:
( LV5,RANK:60 )
|
-
-
13 楼
在ring3下可以用detours库去拦截
|
|
|