clicx

驱动老牛

注册日期2003-10-03
最后登录2016-07-26
粉丝0
关注0
积分792分
威望696点
贡献值41点
好评度499点
原创分0分
专家分0分

加关注写私信

阅读：2670回复：18

如何得到HOOK ZwLoadDriver的驱动文件路径

楼主^#

更多发布于：2008-04-21 15:46

HOOK到DeviceTree得到如下信息：
ZwLoadDriver \Registry\Machine\System\CurrentControlSet\Services\OBJINFO

可是到注册表编辑器里查看却没有这个表相。

喜欢1

最新喜欢：

huhu00...

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

沙发^#

发布于：2008-04-21 16:13

不要用SSDT HOOK这么挫啊，用PsSetLoadImageNotifyRoutine吧
直接得全路径，又不会被IoBuildFullPath绕过，又可以拦截所有内核模块的加载（不光是LOAD DRIVER）

不过拦截驱动也没用啊，现在已经有RING3下干穿一切影子系统的了

驱动开发者呵呵

回复喜欢

clicx

驱动老牛

注册日期2003-10-03
最后登录2016-07-26
粉丝0
关注0
积分792分
威望696点
贡献值41点
好评度499点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2008-04-21 16:22

引用第1楼WQXNETQIQI于2008-04-21 16:13发表的 :
现在已经有RING3下干穿一切影子系统的了

老大，怎么干的？
我也想干。

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

回复喜欢

clicx

驱动老牛

注册日期2003-10-03
最后登录2016-07-26
粉丝0
关注0
积分792分
威望696点
贡献值41点
好评度499点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2008-04-21 16:33

另外我试了一下这个函数，是能得到设备树的加载信息，但是还是得不到驱动。

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

地下室^#

发布于：2008-04-21 18:04

可以得到FullImageName啊，device tree用完驱动会把自己的驱动删了，所以你要在它LOAD的那时候就在RING0把它COPY走，不然就被它删了
或者是HOOK DEVICE TREE，不让它删除文件

驱动开发者呵呵

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

5楼^#

发布于：2008-04-21 18:05

引用第2楼clicx于2008-04-21 16:22发表的 :

老大，怎么干的？
我也想干。

http://hi.baidu.com/mj0011/blog/item/65cedc11b1615a15b8127b3b.html

驱动开发者呵呵

回复喜欢

lovehhy 驱动小牛注册日期2007-09-17 最后登录2010-09-17 粉丝0 关注0 积分1028分威望244点贡献值0点好评度146点原创分0分专家分0分加关注写私信	6楼^# 发布于：2008-04-22 16:34 Vista SP1下HOOK已经很不稳定了哦，最近几个HIPS在我这边频繁BSOD
	回复(0) 喜欢(0)

clicx

驱动老牛

注册日期2003-10-03
最后登录2016-07-26
粉丝0
关注0
积分792分
威望696点
贡献值41点
好评度499点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2008-04-23 09:42

不是不稳定，而是根本得不到啊。

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

回复喜欢

GoodOnline 驱动小牛注册日期2007-04-11 最后登录2009-02-28 粉丝0 关注0 积分4分威望204点贡献值0点好评度191点原创分0分专家分0分加关注写私信	8楼^# 发布于：2008-04-23 10:20 引用第5楼WQXNETQIQI于2008-04-21 18:05发表的 : http://hi.baidu.com/mj0011/blog/item/65cedc11b1615a15b8127b3b.html WQXNETQIQI: 你把系统干废了啊!. 干穿是这个含义吗? 个人理解应该是被穿透的软件工作良好,但是却不能对某个特殊实体起作用. 欢迎指导啊
	回复(0) 喜欢(0)

clicx

驱动老牛

注册日期2003-10-03
最后登录2016-07-26
粉丝0
关注0
积分792分
威望696点
贡献值41点
好评度499点
原创分0分
专家分0分

加关注写私信

9楼^#

发布于：2008-04-23 11:45

引用第4楼WQXNETQIQI于2008-04-21 18:04发表的 :
可以得到FullImageName啊，device tree用完驱动会把自己的驱动删了，所以你要在它LOAD的那时候就在RING0把它COPY走，不然就被它删了
或者是HOOK DEVICE TREE，不让它删除文件

我在HOOK ZwLoadDriver 函数里面查询注册表，注册表键不存在啊，这个函数还没返回呢，注册表不应该被删除掉的。

－－－内核开发合作或提供基础技术服务QQ:22863668 －－－

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

10楼^#

发布于：2008-04-23 13:09

引用第8楼GoodOnline于2008-04-23 10:20发表的 :

WQXNETQIQI:
你把系统干废了啊!. 干穿是这个含义吗?
个人理解应该是被穿透的软件工作良好,但是却不能对某个特殊实体起作用. 欢迎指导啊

都能被干废了，穿透还不容易吗，直接改写个系统文件的扇区~~~
干废只是个演示而已

实际应用你要举一反三啊！

驱动开发者呵呵

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

11楼^#

发布于：2008-04-23 13:10

引用第6楼lovehhy于2008-04-22 16:34发表的 :

Vista SP1下HOOK已经很不稳定了哦，最近几个HIPS在我这边频繁BSOD

你错了，HIPS蓝屏是因为他们太挫了

而不是HOOK不稳定，只要你做得好，用的正确的HOOK，就会稳定

驱动开发者呵呵

回复喜欢

violin 驱动牛犊注册日期2003-10-02 最后登录2009-08-22 粉丝0 关注0 积分4分威望83点贡献值0点好评度41点原创分0分专家分0分加关注写私信	12楼^# 发布于：2008-04-23 13:24 引用第10楼WQXNETQIQI于2008-04-23 13:09发表的 : 都能被干废了，穿透还不容易吗，直接改写个系统文件的扇区~~~ 干废只是个演示而已 ....... 恰好相反，破坏很容易，要稳定安全工作却是很难。所以一般的原理poc难以成为产品层的东西。
	回复(0) 喜欢(0)

GoodOnline 驱动小牛注册日期2007-04-11 最后登录2009-02-28 粉丝0 关注0 积分4分威望204点贡献值0点好评度191点原创分0分专家分0分加关注写私信	13楼^# 发布于：2008-04-23 13:47 引用第10楼WQXNETQIQI于2008-04-23 13:09发表的 : 都能被干废了，穿透还不容易吗，直接改写个系统文件的扇区~~~ 干废只是个演示而已 ....... WQXNETQIQI: http://bbs.pediy.com/showthread.php?t=31325&viewgoodnees=1 除了这个,想不起别的
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

14楼^#

发布于：2008-04-23 19:10

引用第13楼GoodOnline于2008-04-23 13:47发表的 :

WQXNETQIQI:

http://bbs.pediy.com/showthread.php?t=31325&viewgoodnees=1
.......

这个不能过还原、HIPS和影子系统的，搞懂这些再来看吧

的确，破坏比稳定工作困难，但是破坏就是突破点，剩下的只需少许时间和精力即可稳定---这显然非常简单

驱动开发者呵呵

回复喜欢

violin 驱动牛犊注册日期2003-10-02 最后登录2009-08-22 粉丝0 关注0 积分4分威望83点贡献值0点好评度41点原创分0分专家分0分加关注写私信	15楼^# 发布于：2008-04-23 22:36 引用第14楼WQXNETQIQI于2008-04-23 19:10发表的 : 但是破坏就是突破点，剩下的只需少许时间和精力即可稳定---这显然非常简单。。。。。。
	回复(0) 喜欢(0)

qiweixue 驱动小牛注册日期2004-07-21 最后登录2011-12-19 粉丝0 关注0 积分1006分威望274点贡献值0点好评度268点原创分1分专家分0分加关注写私信	16楼^# 发布于：2008-04-24 11:11 强悍的破坏~~~
	回复(0) 喜欢(0)

GoodOnline 驱动小牛注册日期2007-04-11 最后登录2009-02-28 粉丝0 关注0 积分4分威望204点贡献值0点好评度191点原创分0分专家分0分加关注写私信	17楼^# 发布于：2008-04-24 12:33 引用第14楼WQXNETQIQI于2008-04-23 19:10发表的 : 这个不能过还原、HIPS和影子系统的，搞懂这些再来看吧的确，破坏比稳定工作困难，但是破坏就是突破点，剩下的只需少许时间和精力即可稳定---这显然非常简单
	回复(0) 喜欢(0)

qydgood 驱动牛犊注册日期2004-12-06 最后登录2011-03-28 粉丝1 关注0 积分106分威望30点贡献值0点好评度28点原创分0分专家分0分加关注写私信	18楼^# 发布于：2008-04-29 02:44 提供WINDOWS启动时的图形库及键盘接口. 提供内核层超稳定的HOOK库,可以拦任何函数，如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。连系EMAIL ： qydok@126.com ----
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册