阅读:2670回复:18
如何得到HOOK ZwLoadDriver的驱动文件路径
HOOK到DeviceTree得到如下信息:
ZwLoadDriver \Registry\Machine\System\CurrentControlSet\Services\OBJINFO 可是到注册表编辑器里查看却没有这个表相。 |
|
最新喜欢:huhu00...
|
沙发#
发布于:2008-04-21 16:13
不要用SSDT HOOK这么挫啊,用PsSetLoadImageNotifyRoutine吧
直接得全路径,又不会被IoBuildFullPath绕过,又可以拦截所有内核模块的加载(不光是LOAD DRIVER) 不过拦截驱动也没用啊,现在已经有RING3下干穿一切影子系统的了 |
|
|
板凳#
发布于:2008-04-21 16:22
引用第1楼WQXNETQIQI于2008-04-21 16:13发表的 : 老大,怎么干的? 我也想干。 |
|
|
地板#
发布于:2008-04-21 16:33
另外我试了一下这个函数,是能得到设备树的加载信息,但是还是得不到驱动。
|
|
|
地下室#
发布于:2008-04-21 18:04
可以得到FullImageName啊,device tree用完驱动会把自己的驱动删了,所以你要在它LOAD的那时候就在RING0把它COPY走,不然就被它删了
或者是HOOK DEVICE TREE,不让它删除文件 |
|
|
5楼#
发布于:2008-04-21 18:05
引用第2楼clicx于2008-04-21 16:22发表的 : http://hi.baidu.com/mj0011/blog/item/65cedc11b1615a15b8127b3b.html |
|
|
6楼#
发布于:2008-04-22 16:34
Vista SP1下HOOK已经很不稳定了哦,最近几个HIPS在我这边频繁BSOD
|
|
7楼#
发布于:2008-04-23 09:42
不是不稳定,而是根本得不到啊。
|
|
|
8楼#
发布于:2008-04-23 10:20
引用第5楼WQXNETQIQI于2008-04-21 18:05发表的 : WQXNETQIQI: 你把系统干废了啊!. 干穿是这个含义吗? 个人理解应该是被穿透的软件工作良好,但是却不能对某个特殊实体起作用. 欢迎指导啊 |
|
9楼#
发布于:2008-04-23 11:45
引用第4楼WQXNETQIQI于2008-04-21 18:04发表的 : 我在HOOK ZwLoadDriver 函数里面查询注册表,注册表键不存在啊,这个函数还没返回呢,注册表不应该被删除掉的。 |
|
|
10楼#
发布于:2008-04-23 13:09
引用第8楼GoodOnline于2008-04-23 10:20发表的 : 都能被干废了,穿透还不容易吗,直接改写个系统文件的扇区~~~ 干废只是个演示而已 实际应用你要举一反三啊! |
|
|
11楼#
发布于:2008-04-23 13:10
引用第6楼lovehhy于2008-04-22 16:34发表的 : 你错了,HIPS蓝屏是因为他们太挫了 而不是HOOK不稳定,只要你做得好,用的正确的HOOK,就会稳定 |
|
|
12楼#
发布于:2008-04-23 13:24
引用第10楼WQXNETQIQI于2008-04-23 13:09发表的 : 恰好相反,破坏很容易,要稳定安全工作却是很难。所以一般的原理poc难以成为产品层的东西。 |
|
13楼#
发布于:2008-04-23 13:47
引用第10楼WQXNETQIQI于2008-04-23 13:09发表的 : WQXNETQIQI: http://bbs.pediy.com/showthread.php?t=31325&viewgoodnees=1 除了这个,想不起别的 |
|
14楼#
发布于:2008-04-23 19:10
引用第13楼GoodOnline于2008-04-23 13:47发表的 : 这个不能过还原、HIPS和影子系统的,搞懂这些再来看吧 的确,破坏比稳定工作困难,但是破坏就是突破点,剩下的只需少许时间和精力即可稳定---这显然非常简单 |
|
|
15楼#
发布于:2008-04-23 22:36
引用第14楼WQXNETQIQI于2008-04-23 19:10发表的 : 。。。。。。 |
|
16楼#
发布于:2008-04-24 11:11
强悍的破坏~~~
|
|
17楼#
发布于:2008-04-24 12:33
引用第14楼WQXNETQIQI于2008-04-23 19:10发表的 : |
|
18楼#
发布于:2008-04-29 02:44
提供WINDOWS启动时的图形库及键盘接口.
提供内核层超稳定的HOOK库,可以拦任何函数, 如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。 连系EMAIL : qydok@126.com ---- |
|