LaZySandBox Ver0.5(beta)

最新推荐文章于 2021-05-18 01:26:01 发布
最新推荐文章于 2021-05-18 01:26:01 发布
阅读量3.6k 收藏
点赞数
分类专栏: WDK 文章标签: 测试 exe qq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaara_fan/article/details/6429217
版权
LaZySandBox v0.5(beta)是一个测试项目,包含Ring0下的exe和文件系统过滤驱动,能重定向指定进程的文件操作。主要解决了驱动重入问题,通过特殊路径检测和直接发送IRP包来实现。项目还面临文件标志过多的问题,采用人肉分类解决。作者分享了测试视频和调试过程中的问题,包括KdPrint对中文支持不佳的情况,并推荐了一篇来自JJ同学QQ空间的好文。
摘要由CSDN通过智能技术生成

    昨天赶了个界面出来,比较水,将就一下,总结大会过了之后准备果断重构一遍.上图

 

    一个Ring0下的exe,跟驱动通信的,简单通信(DeviceIoControl)和一个文件系统过滤驱动,基本完成的功能是对指定进程的文件操作进行重定向.录了两个测试视频,不过优酷可能看不太清,有兴趣的同学请猛击(不过这个是无解说的...)

 

    正常程序测试:http://v.youku.com/v_show/id_XMjY3Nzg0Nzcy.html

    感染病毒测试:http://v.youku.com/v_show/id_XMjY3Nzg1OTcy.html

 

    碰到的难题主要是驱动重入问题,解决的方法是:1,特殊路径检测;2,直接向底层设备发IRP包;3,创建影设备.我是用了前面两个.另一个让我烦躁的是文件标志太多,具体可以参考之前搞的这篇http://blog.csdn.net/GaA_Ra/archive/2011/03/30/6288802.aspx,这个无解,果断人肉分类,最后一个小小烦躁的问题是驱动里面实现CopyFile,自己用ZwReadFile和ZwWriteFile写,当然还不够底,再底可以发IRP包操作.

   

   瞄的昨天用Windbg调发现KdPrint对%S的中文支持不好..上图,哥以为中文路径被截断了..调了好一会..

 

   最末推荐文章一篇,好文章啊有木有,来自JJ同学的QQ空间...http://user.qzone.qq.com/298958325/blog/1305544731

GaA_Ra
关注
专栏目录
Qt之msvc-version.conf loaded but QMAKE_MSC_VER isn‘t set
草上爬的博客
01-28 3万+
最近用Qt5.10.0 VS2015新建一个工程,构建时报如下错误: msvc-version.conf loaded but QMAKE_MSC_VER isn't set 解决方法: 打开文件D:\Qt\Qt5.10.0\5.10.0\msvc2015\mkspecs\common\msvc-version.conf 在其中添加版本QMAKE_MSC_VER = 1900,如下图所
mysql ver 14.14 distrib 5.5.49_MySQL简介及安装 mysql Ver 14.14 Distrib 5.7.28
weixin_29011239的博客
02-03 3052
1.MySQL简介1.数据库产品演变第一代数据库架构:RDBMS 关系型数据库时代 : 合的时代代表产品 :Oracle 、MSSQL 、MySQL、SQL server第二代数据库架构:拆的时代NoSQL : Not Only SQL 时代代表产品: Redis 、MongoDB、ES第三代数据库架构: 合的时代NewSQL :新型数据库架构时代代表产品:阿里系列: OB 、PolarDBPin...
(Ver 0.5)油猴脚本:微信推送浏览功能拓展
Ziuc的博客
05-18 851
(Ver 0.5)油猴脚本:微信推送浏览功能拓展 Latest update date:2021/05/18 Ver0.5 Ver0.5 更新说明: 功能特性: 增加单击文本复制文章摘要功能 增加设置默认时间显示格式 增加设置引导关注栏的开启或关闭 移除了“封面链接”按钮,获取封面链接可以点击公众号蓝字后点击内部的二维码获取 性能优化: 用对象变量统一管理功能开闭的逻辑,所有功能的启用与关闭都可以自行配置 增加checkout()函数,脚本运行主要功能前首先进行逻辑判断,减小不必
软件版本GA、RC、beta等含义
热门推荐
蝈蝈的博客
04-18 5万+
GA General Availability,正式发布的版本,官方开始推荐广泛使用,国外有的用GA来表示release版本。 RELEASE 正式发布版,官方推荐使用的版本,有的用GA来表示。比如spring。 Stable 稳定版,开源软件有的会用stable来表示正式发布的版本。比如Nginx。 Final 最终版,也是正式发布版的一种表示方法。比如Hibernat...
mysql ver 14.14 distrib 5.5.49_mysql 查看mysql版本的四种方法
weixin_30037665的博客
02-17 2182
1 命令行中使用status可以查看。mysql> status;--------------mysql Ver 14.14 Distrib 5.5.25a, for Linux (x86_64) using readline 5.1Connection id: 33348Current database:Current user: [emailpr...
_MSC_VER超详细讲解,一看就会
小黑鼠编程之路
03-06 2万+
_MSC_VER是微软的预编译控制。_MSC_VER可以分解为:MS:Microsoft的简写。C:MSC就是Microsoft的C编译器。VER:Version的简写。_MSC_VER的意思就是:Microsoft的C编译器的版本。微软不同时期,编译器有不同的版本:MS VC++ 14.0 _MSC_VER = 1900 (Visual Studio 2015)MS VC++ 12.0 _MSC...
关于 Qt使用MSVC版本编译出现“QMAKE_MSC_VER” 的解决方法
长沙创微智科技术博客
05-08 3万+
若该文为原创文章,转载请注明原文出处 本文章博客地址:https://blog.csdn.net/qq21497936/article/details/116544980 长期持续带来更多项目与技术分享,咨询请加QQ:21497936、微信:yangsir198808 红胖子(红模仿)的博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV、OpenGL、ffmpeg、OSG、单片机、软硬结合等等)持续更新中…(点击传送门) Qt开发专栏:各种问题解决(点击传送门) 前言   遇到N次了,记录
_MSC_VER
csdn_wuwt的博客
10-17 2283
_MSC_VER 定义的是编译器的版本。 编译器版本的_MSC_VER值: MS VC++ 15.0 _MSC_VER = 1910 (Visual Studio 2017) MS VC++ 14.0 _MSC_VER = 1900 (Visual Studio 2015) MS VC++ 12.0 _MSC_VER = 1800 (VisualStudio 2013) MS VC++ 11.0 ...
error LNK2038: 检测到“_MSC_VER”的不匹配项问题
lrsage
06-02 7561
用VS2015新建了一个Qt项目,生成报错 error LNK2038: 检测到“_MSC_VER”的不匹配项: 值“1600”不匹配值“1900”(EnlargementANDReduction.obj 中) fatal error LNK1319: 检测到 1 个不匹配项_MSC_VER这个相当于做了宏的检测  _MSC_VER 定义编译器的版本。原因:由于使用了vs2010,工作集选择了更高...
Awesome PHP Proxy (Ver 0.5 Beta)-开源
05-27
基于WebPHP代理,用于在公司或学校中冲浪。 它使用服务器端加密和自动客户端解密。 在上一个发行版中,我们上传了错误的文件。是的,确实如此。 对于那个很抱歉。 现在在线上正确的文件!
语音信箱Ver0.5.zip
11-05
《深入理解语音信箱编程软件:以“语音信箱Ver0.5.zip”为例》 在信息技术领域,语音信箱软件是通信技术的重要组成部分,尤其在企业级通信解决方案中扮演着不可或缺的角色。本文将围绕“语音信箱Ver0.5.zip”这一...
SPFD5414D_Ver0.5_20080730.pdf
02-28
根据提供的文件信息,我们可以了解到文档名为“SPFD5414D_Ver0.5_***.pdf”,文档的内容涉及SPFD5414D这款设备的初步介绍。文档包含了设备的通用描述、特点、订购信息、系统框图、信号描述以及指令说明等部分。不过...
NT39016E_Ver0.5_20081107.pdf
02-16
NT39016E_Ver0.5_20081107.pdf
050120-S6D0129X Application circuit-ver0.5.pdf
02-28
- “RecommandedApplicationCircuit-Ver0.5”可能是指推荐的应用电路版本说明。 - 提到了多个“DUMMY”引脚的处理,这些可能是用于测试或保留的设计,通常应该接地或者在电源开启后进行复位。 - 对于电源电压和...
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7408
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
Windbg里查看Shadow SSDT
GaA.Ra的自留地 in Csdn
03-25 4465
内核当中已经导出了KeServiceDescriptorTable,可以直接在Windbg当中使用dd命令查看,对于Shadow SSDT的地址,在WinXP当中,地址是KeServiceDescriptorTable-0x40.为了查看win32k的SYSTEM_SERVICE_TABLE,记得要切换到具有图形界面的进程上下文当中才能正确查看.KeServiceDescriptorTableSh
IRP_MJ_CREATE派遣例程里能获取的信息
GaA.Ra的自留地 in Csdn
03-30 4375
    在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.    详细说明的请参考下面代码框内容:/*++ 1.irpSp->Parameters.Create: struct { PIO_SECURITY_CONTEXT SecurityContext; ULONG Options; USHORT POINTER_ALIGNMENT FileAttributes; USHORT ShareAccess; U
VC6+WinDDK,VS2005+DDKWizard环境配置的一些记录
GaA.Ra的自留地 in Csdn
06-28 2917
VC6+WinDDK:    1.按照windows驱动开发技术详解(张帆编)的说明,包含目录在vc6当中记得提升到最上面,不然会出现这样那样的错误.    2.提示'specstrings.h': No such file or directory,把inc下面的crt目录也包含进来可以解决    3.提示类似missing ';' before identifier 'Lock',请把wxp的包含目录去掉,包含需要的目录(请试试wdm目录),另外参考第一条    4.如果提示编译器不支持编译,cl.ex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值