阅读:2665回复:7
[YY言论]又见感染驱动文件和驱动文件感染新思路
又见感染驱动文件和驱动文件感染新思路
看样子这玩意又出来了~不过没有ida分析过~只是想说点我的C代码的感染驱动时的一点点小技巧,我们知道驱动可以包含资源这部分资源又可以释放到内存或者怎么怎么的搞成一个executive image mapping,然后xxx.再zzz就可以执行资源,甚至里面还可以有些猥琐的各种加密之类的玩意——没错,我说的就是资源打包方式的感染,这玩意不陌生,至少二十一世纪初期这是个流行的感染方法,只要手工写一个操作资源的函数,在ring0实现资源打包就可以了,然后就是资源重载入(这个比较简单在内存里load pe而已)——至于如果实现感染,其实就更简单了,hook iocreatefile了事,至于所谓的ring3兼容式感染,更简洁的说,你可以在驱动的资源里带一个ring3 bind&load的玩意,然后就是xxx与zzz式工作了,至于更邪恶的可以YY一下啦~ 高级语言实现感染後一切就再简单不过了——呵呵~ PS: zjjmj2002放的样本ida里很难看~ |
|
|
沙发#
发布于:2007-10-26 20:24
自己顶一下,我现在不是邪恶领导人,不做啥邪恶的事情~
|
|
|
板凳#
发布于:2007-10-26 21:27
最后还可以!@#^&*~一下……
|
|
|
地板#
发布于:2007-10-27 11:16
1. 不新
2. 也不需要资源, binary就可以了 |
|
地下室#
发布于:2007-10-27 18:53
是不新,不过这样子比较好做,取巧化才节省开发资源,拿汇编xxx再xxx——功能多了的话,汇编写起来比较xxx~~
|
|
|
5楼#
发布于:2007-10-28 00:15
没意思
|
|
驱动小牛
|
6楼#
发布于:2007-10-29 08:41
除了XXX就是ZZZ,我们菜鸟知道这是啥意思啊,老大别整些黑话.
|
7楼#
发布于:2007-10-29 15:34
黑人整黑话,ls的多去晒晒太阳就懂了
|
|