sys文件的checksum

最新推荐文章于 2024-07-31 20:45:01 发布
最新推荐文章于 2024-07-31 20:45:01 发布
阅读量86 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/shremie/archive/2012/07/07/2580554.html
版权

驱动文件在编译时会按照某种算法把这个文件的checksum值写入到PE头中,在加载sys文件的时候,系统会按照这种算法计算一下这个sys文件的checksum值,把结果和PE头中的checksum比较,相等则加载成功,反之则加载失败。

下面是我最近分析过的一个样本的某段代码:

释放的sys文件末尾被追加了随机数据,如果加载的话,操作系统计算该sys文件的checksum值和该文件pe头中的checksum值肯定不一样,必然会导致加载失败,所以在释放了sys文件之后,自己计算checksum值,把这个值写入到PE头中,这样才能保证sys加载成功。我们自己可以测试一下,用FFI打开随便一个sys文件,把其中的checksum值改了,然后用驱动加载工具加载下这个sys文件,结果必然是加载失败,如果把checksum值再改回来,则加载成功。

一点经验:

今后如果遇到释放随机内容的sys,它附近肯定会有计算checksum的代码。

转载于:https://www.cnblogs.com/shremie/archive/2012/07/07/2580554.html

aapow22288
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件的校验和(CheckSum)
qq_39708161的博客
02-18 3021
IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验,用于检查PE文件的完整性,在一些内核模式驱动及DLL,该必须是存在且正确的 校验的计算很简单: 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件也是有的,计算时得去掉) 以WORD为单位对数据块进行累加,记住要用ad...
国密SM3算法在linux和windows平台结果不一致问题
weixin_34252686的博客
03-01 1314
什么是sm3,是一种类似于sha256的哈希算法,是咱们国家的哈希标准算法; 最近在使用sm3算法时,同样的一份数据,调用同样的sm3接口,发现得到的结果是不一样的; 那么在应用过的过程,如果同样的算法出的结果不一样,那验证签名业务就会不过,出问题; 最后发现是sm3算法在内部使用了unsigned long, 这里要注意 long, 在 window...
intel 的千兆网卡出现 The EEPROM Checksum Is Not Valid,不能用,解决的办法!
weixin_33872566的博客
04-01 1935
T60系统安装好了linux系统,却加载不了intel千兆网卡驱动。看看是否可以帮助你 当用dmesg|grep e1000查看的信息如下 [ 30.239355] e1000: probe of 0000:02:00.0 failed with error -5 [ 2541.874552] e1000: 0000:02:00.0: e1000_p...
Nmap一些常用的NSE脚本
TENCENTSYS的博客
08-24 980
Nmap 一款标志性的跨平台扫描器。它的原意为Network Mapper(网络映射器),具有相当强大的扫描功能,几乎适用于任何渗透场景。不少人甚至认为它就是全球最好的扫描软件。除了常规的网络扫描,Nmap还可根据NSE (Nmap scripting Engine)的脚本进行大量渗透工作,这种脚本是基于Lua编程语言,有点像javascript。正是NSE,使得Nmap不再普通。 首先,我们扫描...
checkSum的计算
我要出家当道士
09-24 705
IP协议与UDP协议校验和的计算(TCP与UDP类似)
rsync文件同步
翡翠泪滴的博客
06-11 1072
1、rsync 全名 Remote Sync,是类 UNIX 系统下的数据镜像备份工具。可以方便的实现本地、远程备份,rsync 提供了丰富的选项来控制其行为。(1)Remote Sync, 远程同步 端口 873(2)支持本地复制,或者与其他SSH、rsync 主机同步(3)官方网站:https://rsync.samba.org/
PE文件详解01
qq_33168924的博客
11-19 1074
PE文件详解之01 1.PE文件: ​ PE文件是windows平台下的一种可执行的文件格式,包括可执行文件(后缀名exe),动态链接库(后缀名dll),驱动文件(sys文件)。在进程空间,通常由一个exe(主模块)和其他多个dll模块构成。 2.PE文件的大概组成: ​ PE文件主要由两个部分组成,头部和主体部分。头部有DOS头,NT头,区段头组成,主体由各个区段组成,还有一些调试信息。主体各个...
Linux 知:文件系统
canpool
02-19 2324
“一切皆是文件” 是 Unix/Linux 的基本哲学之一。这句话的 “文件” 不仅仅是指我们通常所说的文件,而是指 Linux 世界的所有、任意、一切东西都可以通过文件的方式访问和管理。它是一个抽象的概念,这才符合哲学意味。linux 有 7 种文件类型:普通文件、目录文件、块设备文件、字符设备、套接字文件、管道文件、链接文件。这些文件都可以用一套相同的API(如:open/read/write/close等)进行操作。这正好又符合 Unix/Linux 的另一个哲学思想“简单原则”,即著名的 KI
PE文件结构与ELF文件结构
04-19
PE 文件(Portable Executable)是 Windows 操作系统上的程序文件,包括 EXE、DLL、OCX、SYS、COM 等文件类型。PE 文件的结构可以分为五个部分:DOS MZ Header、DOS Stub、PE Header、Section Table 和 Sections。 ...
关于电脑的错误命令
09-15
11. **The following command in your CONFIG.SYS file is incorrect:**:CONFIG.SYS文件的以下命令不正确。 - 解决方案:根据错误提示修改CONFIG.SYS文件。 12. **The sectors size specified in this file is ...
oracle坏块处理方法[归类].pdf
10-11
4. 查看 TRACE 文件,应有 error recovery tx(#,#) object #.TX(#,#),指出事务信息,其 object # 与 sys.dba_objects 的 object_id 相同 5. 使用以下查询找出正在进行恢复的对象:SELECT owner,object_name,...
使用MultiKey在64位Windows下模拟SuperPROv
10-19
- **Driver Signature Enforcement Overrider (dseo13b.exe)**:用于对multikey.sys X64驱动文件进行数字签名。这是因为在某些情况下,如Windows 7,未经数字签名的驱动程序无法安装。 #### 安装与使用步骤 ##### ...
linux操作系统_TCP
hkhkhkhkh123的博客
07-30 1065
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
杂谈 | windows批处理脚本 | 配置项目环境变量
zwcslj的博客
07-31 1256
命令回显功能是指在运行命令或脚本时,系统将命令的执行过程和结果显示在屏幕上,使用户能够实时地看到命令的执行情况。通常,当命令回显功能打开时,在执行每一步命令时,系统将会显示执行的命令本身以及对应的结果,从而帮助用户了解命令的执行过程,排查可能出现的问题。关闭回显时,命令提示符不会出现在“命令提示符”窗口。若要再次显示命令提示符,请键入 echo on。
Linux安全检测工具--运行即可抓到多数僵尸程序
博大汽车信息安全
07-30 843
本文将详细介绍作者开发的 Linux 安全检测工具的功能,包括进程分析、网络分析、日志分析、文件分析、利用现有检测工具、容器分析、数据库分析、环境变量分析、启动脚本分析、启动服务分析、账号密码配置分析、账号权限配置分析、预加载库/动态链接器/动态链接库分析、内核模块分析、敏感目录下异常文件分析等,帮助用户更好地了解和选择合适的 Linux 安全检测工具。进程分析是 Linux 安全检测工具的核心功能之一,主要用于检测系统是否存在可疑或恶意的进程。# ... 其他进程分析代码 ...# 伪装内核进程检测。
Linux-用户和用户组管理
最新发布
2301_80059615的博客
07-31 746
用户管理的创建、查看、删除、修改以及常用的指令演示说明;用户组管理的添加、删除、查看、修改指令演示说明
shell checksum
05-26
Shell checksum是一种通过计算文件内容得到的校验和,可以用于验证文件的完整性。在shell,可以使用以下命令生成checksum: ```sh $ md5sum $ sha256sum ``` 其,`<file_path>`是要计算校验和的文件路径。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值