最近拜读了王爽老师的《汇编语言》,学到了不少东西,终于能勉强逆点简单的小程序了。于是想到了
Extreme神犇很早以前提出的这个点子:调用带正规签名的驱动来干坏事- -
鲁大师有正规数字签名,所以它的驱动加载时不会被主防报警,而鲁大师驱动里也没有验证调用者,所以可以利用~
灵感来自 Extreme神犇~以前ASM完全不懂,用IDA只会F5,一看IoDispatchControl就苦逼了,所以一直搞不定(F5的话,SystemBuffer显示成一个什么.Type,完全驴唇不对马嘴,可怕- -||)
于是逆了ComputerZ.sys
一开始我直接拿安装的旧版逆,结果基本接口搞得差不多了之后发现新版的360硬件大师驱动更新了= =旧的没用了。。而内部实现也有变化然后苦逼了,又下了个新的360硬件大师
果然360还是考虑得周到些,加入了SeTokenIsAdmin权限验证,调用Function时对参数的检查也严格了些,不过还是没有验证调用者XD
最后鼓捣鼓捣还是成功了
下面是我逆出的伪码(为啥说是伪码呢?因为我就是边看反汇编边翻译。。只逆了一些关键的接口,没除错,编译不能,所以只能用来看看思路,说是C代码有点对不起观众- -|| 逆得很挫,大牛见笑了。。):
鲁大师有正规数字签名,所以它的驱动加载时不会被主防报警,而鲁大师驱动里也没有验证调用者,所以可以利用~
灵感来自 Extreme神犇~以前ASM完全不懂,用IDA只会F5,一看IoDispatchControl就苦逼了,所以一直搞不定(F5的话,SystemBuffer显示成一个什么.Type,完全驴唇不对马嘴,可怕- -||)
于是逆了ComputerZ.sys
一开始我直接拿安装的旧版逆,结果基本接口搞得差不多了之后发现新版的360硬件大师驱动更新了= =旧的没用了。。而内部实现也有变化然后苦逼了,又下了个新的360硬件大师
果然360还是考虑得周到些,加入了SeTokenIsAdmin权限验证,调用Function时对参数的检查也严格了些,不过还是没有验证调用者XD
最后鼓捣鼓捣还是成功了
下面是我逆出的伪码(为啥说是伪码呢?因为我就是边看反汇编边翻译。。只逆了一些关键的接口,没除错,编译不能,所以只能用来看看思路,说是C代码有点对不起观众- -|| 逆得很挫,大牛见笑了。。):
代码:
#include <ntddk.h> BOOLEAN read_port_uchar(USHORT usPort, PULONG buffer) { if (!is_port_legal(usPort)) { return FALSE; } _asm { in buffer,usPort } return TRUE; } BOOLEAN read_physical_address_by_uchar(PHYSICAL_ADDRESS PhyAddr) { PUCHAR Register = MmMapIoSpace(PhyAddr.LowPart, 0, 4, 0); if (Register == NULL) { return FALSE; } READ_REGISTER_BUFFER_UCHAR(Register, &PhyAddr.HighPart, 4); MmUnmapIoSpace(Register, 4); return TRUE; } BOOLEAN read_physical_address_by_ulong(PHYSICAL_ADDRESS PhyAddr, ULONG NumberOfBytes) { PULONG Register = MmMapIoSpace(PhyAddr.LowPart, 0, NumberOfBytes, 0); if (Register == NULL) { return FALSE; } READ_REGISTER_BUFFER_ULONG(Register, &PhyAddr.HighPart, NumberOfBytes / 4); MmUnmapIoSpace(Register, NumberOfBytes); return TRUE; } NTSTATUS __stdcall DispatchIoControl(int DeviceObject, PIRP Irp) { NTSTATUS ulReturn = STATUS_SUCCESS; PIO_STACK_LOCATION IrpSp = Irp->Tail.Overlay.CurrentStackLocation; if (IrpSp->MajorFunction != IRP_MJ_CREATE && IrpSp->MajorFunction != IRP_MJ_CL