inline Hook IdePortStartIo+80 的奇怪驱动

最新推荐文章于 2016-09-24 20:12:51 发布
最新推荐文章于 2016-09-24 20:12:51 发布
阅读量1.5k 收藏
点赞数
分类专栏: rootkit 文章标签: hook attributes object byte 磁盘 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640193
版权

原理类似机器狗,代码写的挺新鲜

loadder.exe

行为

         NtSetSysteminformation加载驱动 c:\\cloud76.dll 

         

驱动cloud76.dll        

行为

         摘掉IopFsNotifyChangeQueueHead队列

         

         hook dmload.sys的IrpCreate与loadder.exe通信

         loadder.exe在NtCreateFile的OBJECT_ATTRIBUTES参数尾部缀上附加参数,cloud76.dll 的hook函数栈回溯取得参数

                   

         map一份atapi.sys到内存中,自己调用map文件的IdePortDispatch读写扇区

         

         inlineHook IdePortStartIo+80 跳转到这里

         cmp     byte ptr [esi+37h],77h ;srb->cdb[7] = =0x77 (BlockCount)

         je      81d73f64 

         or      eax,2

         mov     dword ptr [esi+28h],eax

         jmp     atapi!IdePortStartIo+0x94 (f84ed8f8)

对srb的扇区号高位进行判断, srb->Cdb[7] == 0x77的时候跳过atapi的一句操作,(0x77这个值是硬编码的)



     直接跳过atapi.sys的这句srb->SrbExtension = (PVOID)((unsigned int)v9 | 2); 用意不明,我把atapi中这句nop之后毫无影响,实在想不通啊~~




         直接从物理磁盘级别解析文件系统fat32 or ntfs,写入stobject.dll

 

修改后的stobject.dll

         循环下载http://2012baidu.3322.org:8087/88.exe

 

扔一个idb和完整样本上来,这家伙驱动写的还是不错的,连atapi都要自己map来绕过钩子,就是要和网吧还原对抗的

就是那句inline hook实在搞不懂= = 可能也是个某驱动对抗用的吧

 

扔个样本出来

115提取码 e7breces

cloud76.zip


Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Windows驱动开发](二)基础知识——数据结构
baggiowangyu的专栏
08-01 1万+
本节主要介绍驱动开发的一些基础知识。     1. 驱动程序的基本组成         1.1. 最经常见到的数据结构                a. DRIVER_OBJECT驱动对象 // WDK中对驱动对象的定义 // 每个驱动程序都会有一个唯一的驱动对象与之对应 // 它是在驱动加载时被内核对象管理程序创建的 typedef struct _DRIVER_OBJECT
鬼影3样本ASM2C(mb.exe + hello_tt.sys)
热门推荐
GaA.Ra的自留地 in Csdn
07-07 1万+
好吧,蛋疼的考试已经结束了,暑假除了看论文之外没其他任务,这两天跟老板开完总结会议之后再看看要什么时候回家..老妈以为我暑假不回,这两天一直打电话想做说服工作-___-     现在有点小困,不多做吐槽了.下午晚饭时间群里三哥又发福利,发了鬼影3的样本.晚上从吃完饭开始就一直再看.瞄的,HookStartIO部分真心看不懂.等再请教下人了.纯静态分析的人儿你们伤不起啊~~     mb.exe
《Windows驱动开发技术详解》之StartIO例程
weixin_30344995的博客
06-07 122
博文内容中字符过多,拒绝显示 转载于:https://www.cnblogs.com/predator-wang/p/5567522.html
windows driver 驱动程序我的下载地址
sz76211822的专栏
11-25 679
http://download.csdn.net/detail/sz76211822/8197619
StartIo例程的作用
weixin_30477797的博客
09-16 138
关于驱动程序里StartIo例程的作用,部分摘自网络,有不正确的地方还望指正。 在很多时候,驱动程序不能立即处理I/O请求,此时需要通过一个队列保存Irp,然后返回,等到可以处理I/O请求时,再从队列中取出Irp进行处理。驱动程序可以自己维护一个队列,并通过系统线程来做处理。由于很多驱动程序都需要这种处理机制,为了方便处理,系统为此提供了一套处理机制,驱动程序可以调用IoSta...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
WIN64位驱动 InLine_HOOK框架
12-28
《关于WIN64位驱动InLine_HOOK框架的深入解析》 在计算机编程领域,驱动程序是操作系统与硬件设备之间的桥梁,而InLine_HOOK框架则是一种常见的驱动技术,它允许开发者在不修改目标代码的情况下,对特定函数进行...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
如何区分ssdt hookinline hook钩子
01-25
两种常见的钩子类型是SSDT(System Service Descriptor Table)HookInline Hook,它们各有特点,适用场景不同。 **SSDT Hook** SSDT是Windows操作系统中用于管理系统服务的一个表,它包含了一系列指向系统服务...
Windows驱动开发(6) - DRIVER_OBJECT结构体
Vinx Blog
05-04 4091
Windows驱动开发(6) - DRIVER_OBJECT结构体typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVO
常用的逆向工程钩子
随心散人专栏
03-07 2000
::InitializeCriticalSection(&section); HMODULE handle = LoadLibrary(TEXT("kernel32.dll")); HMODULE handle2 = LoadLibrary(L"msvcr90.dll"); if (handle != NULL) { pGetQueueCompletionStatusType = (G
windows 驱动开发入门——驱动中的数据结构
Masimaro的专栏
09-24 3397
最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书——《独钓寒江 windows安全编程》 和 《windows驱动开发技术详解》。 驱动开发过程中,主要使用的C语言,虽说C中定义了许多数据类型,但是一般来说在编码上还是习惯与使用WDK的规范,虽说这个不是必须的,比如有这样一句unsigned long ul = 0;这个数据的大小
StartIO例程------------IoStartPacket、IoStartNextPacket、IoCancelIrp实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-07 952
StartIO例程------------IoStartPacket、IoStartNextPacket、IoCancelIrp实现代码 根据wdk代码做的IoStartPacket、IoStartNextPacket、IoCancelIrp简化版: VOID IoStartPacket(     IN PDEVICE_OBJECT DeviceObject,     IN PIR
windows驱动注册中断服务程序
稻草人
08-17 3016
一个驱动程序的标准中断服务例程的必要功能和建立一个ISR的需求。 8.1 ISR需求 8.1.1 ISR性能 8.1.2 附加的需求的驱动程序例程 8.1.3 建立一个ISR 8.2 ISR基本功能 8.3 ISR重叠I/O操作功能 1.1 ISR需求 一个产
Windows驱动开发(10) - 驱动程序的同步处理(一)
Vinx Blog
06-24 1350
Windows驱动开发(10) - 驱动程序的同步处理(一)1、基本概念1.1 可重入与不可重入可重入,是指函数的执行结果不和执行顺序有关。反之,如果执行结果和执行顺序有关,则称这个函数是“不可重入”的。1.2 同步与异步1) 同步就是指一个线程要等待上一个线程执行完之后才开始执行当前的线程。 2) 异步是指一个线程去执行,它的下一个线程不必等待它执行完就开始执行2、中断请求级在Windows的
Windows驱动开发基础(五)驱动程序的数据结构
ikerpeng
08-24 2146
Windows驱动开发基础(五)驱动程序的数据结构
深入解析内核 Inline Hook 实现
在理解Inline Hook之前,需要掌握一些基本知识,如汇编语言、驱动开发、调试工具Windbg以及函数参数调用机制。 Inline Hook的实现分为三个主要步骤:首先,分析目标函数的开头指令,并将其复制到一个数组中保存;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值