我也来无符号定位驱动入口

最新推荐文章于 2024-08-19 10:35:41 发布
最新推荐文章于 2024-08-19 10:35:41 发布
阅读量963 收藏 1
点赞数 1
分类专栏: XX驱动XX 文章标签: byte 汇编 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jizhongqing/article/details/5710835
版权

     老是端着IDA扫射实在不爽,没有真实感,还是不时的debug验证下才好。。。。。

下面是总结的定位驱动入口的方法,方法还是网上的方法,只是不用每次人工找那条邪恶的call dword ptr[edi+2c] 了。。。

 

网上说的调试无符号驱动的方法:在IopLoadDriver+XXX的位置下断点:
xxx随系统不同版本而不同,每次自己拿眼睛找,很累很累,翻了下手册,发现有好命令可用,越来越发现windbg太过强大,只能用时现学了。。。

 

指令格式: # [Pattern] [Address [ L Size ]]
用来搜索汇编指令,windbg提供的这个功能还比较弱,不能直接搜索整条指令,只能这样搜了


在IopLoadDriver入口处开始,大小0x1000的范围内搜索 call [edi+2c]
kd> # "edi?2c" IopLoadDriver L 0x1000
nt!IopLoadDriver+0x684 [e:/wrk/base/ntos/io/iomgr/internal.c @ 4225]:
808ed3e6 ff572c          call    dword ptr [edi+2Ch]
nt!IopCloseFile+0x40 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 156]:
808ef808 f6472c02        test    byte ptr [edi+2Ch],2
nt!IopCloseFile+0x149 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 265]:
808ef911 f6472c02        test    byte ptr [edi+2Ch],2
nt!IopCloseFile+0x1b2 [e:/wrk/base/ntos/io/iomgr/objsup.c @ 313]:

 

还好不多,第一个就是call驱动入口了,接下来就是 bp 808ed3e6; g; s;进入DriverEntry
这是在wrk里哈哈,虽然看见源码的勾引了,但为了日常的没源码环境,我就当啥也没看见。。。

jizhongqing
关注
专栏目录
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4295
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
在Windbg中设置断点追踪打开C++程序远程调试开关的模块
dvlinker的技术专栏
04-10 2万+
在动态调试的Windbg中设置断点,追踪何处打开了C++程序远程调试开关。
kdmapper:KDMapper是利用iqvw64e.sys Intel驱动程序手动映射内存中未签名驱动程序的简单工具
03-31
KDMapper 原始创作者 由更新和改进 已从Windows 10 1607测试到当前的Windows 10 20H2 :check_mark: 更新主要针对UnknownCheats论坛 KDMapper是利用iqvw64e.sys Intel驱动程序手动映射内存中未签名驱动程序的简单工具 修正: Hook "NtQueryInformationAtom" which exists in all windows versions Fixed unable to load /GS- compiled drivers 改进之处: Implemented NtLoadDriver and NtUnloadDriver for less traces Prevent load if \Device\Nal exists (Prevents BSOD) Automatic clear PiDDBCac
调试无符号驱动
qycer的专栏
08-07 816
源自:http://hi.baidu.com/abinhebaijie/item/b7953e432cc8c6a261d7b9e0 似乎很多人都不知道如何动态调试无符号驱动。   先用随便哪个PE文件信息查看工具查看驱动加载的基址,一般来说是0x10000,当然你也可以用IDA看。然后用IDA打开驱动,看DriverEntry的偏移,然后用这个偏移减去基址,得到a。用windb
KDMapper 使用教程
最新发布
gitblog_00723的博客
08-19 491
KDMapper 使用教程 kdmapperkdmapper - 一个利用 Intel 驱动漏洞来手动映射非签名驱动到内存的工具,通常用于 Windows 内核研究,适合系统安全研究人员。项目地址:https://gitcode.com/gh_mirrors/kd/kdmapper 1. 项目的目录结构及介绍 KDMapper 是一个利用 iqvw64e.sys Intel 驱动来手动映射非签名...
内核映射器(KernelMapper)开发-扩展KdMapper在Window 7 x64的支持
时空之中的灵魂
07-22 1104
内核映射器有较多年历史了,其中KdMapper是比较著名的,原版中它使用intel的驱动漏洞可以无痕的加载未经签名的驱动。只不过当前只支持在Win10及Win11上运行,现在进行功能的修改以支持在Win7 x64环境上。当前假定读者对KdMapper的原理比较了解并编译调试过相关代码。
KdMapper扩展实现之GMER(gmer64.sys)
时空之中的灵魂
09-12 425
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
KdMapper扩展实现之虚拟地址转物理地址
时空之中的灵魂
09-04 510
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能时遇到的问题,需要大家对KdMapper的代码有一定了解。在中有很多利用MmMapIoSpace和ZwMapViewOfSection将物理内存映射后进行内存数据读写的情况,一般情况下需要先将虚拟地址转换为物理地址,内核中使用MmGetPhysicalAddress即可。但有发现大多数的漏洞驱动并没有MmGetPhysicalAddress的利用。
关于ELF可重定位目标文件的实例说明(CSAPP)
qq_44255916的博客
11-02 961
运行环境: Unix系统 gcc编译器 参考书籍: 《Computer Systems:A Programmer’s Perspective》(《深入理解计算机系统》) 主要内容: ELF可重定位目标文件(.o文件),主要讲解ELF头部信息,节头部表,及符号表 运行实例: swap.c、main.c(main.c引用swap.c) swap.c extern int buf[]; int *buf...
《Windows驱动开发技术详解》学习笔记
热门推荐
Sagittarius_Warrior的博客
02-13 2万+
Abstract   如果推荐 Windows 驱动开发的入门书,我强烈推荐《Windows驱动开发技术详解》。但是由于成书的时间较早,该书中提到的很多工具和环境都已不可用或找不到,而本文搜集了大部分的工具,并在 win10X64 上安装开发环境,在 win7x86 上进行实验,趟过了不少实际编译和测试中遇到的坑。此外,本文也对相关章节的重点进行了总结,全文目录如下: 全书导读 开发和调试 驱...
kdmapper-master_iqvw64e.sys_WritetobeRead_first178_ManualMap_C++
09-29
So this driver (iqvw64e.sys) comes as part of Intel LAN drivers and it allows to copy read and write user/kernel memory map physical memory and perform virtual to physical address translation.For code execution: I used a method described here (Executing shellcode)Your driver must be compiled with /GS- option and have custom driver entry point defined. (Basically the same kind of driver that you would use with drvmap or any other driver manual mapper)
efi-memory:PoC EFI运行时驱动程序,用于内存rw和kdmapper分叉
03-21
Efi-memory是用于读写虚拟内存的概念验证EFI运行时驱动程序。它使用挂钩SetVariable的方法与用户模式进程进行通信。。 回购内容 司机/ EFI驱动程序本身 客户/ efi-mapper / 使用efi-memory手动映射任何Windows驱动程序的 fork 编译中 编译任何示例客户端程序都非常简单。在Visual Studio中打开解决方案文件,并使用默认设置编译项目。 编译驱动程序也非常简单。首先,您需要进行有效Linux安装(或者您可以使用WindowsLinux子系统)并安装gnu-efi(适用于Ubuntu 20.04的命令): sudo apt install gnu-efi build-essential 这就是您需要安装的所有内容。程序包管理器(在示例中为apt)应​​为您解决所有的问题。安装完成后,克隆此仓库(确保已安装git): git clo
无签名驱动加载工具
02-08
]无签名驱动加载工具
Kdmapper-Bypass360:绕过360安全检测的神器
gitblog_00034的博客
04-21 546
Kdmapper-Bypass360:绕过360安全检测的神器 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,由开发者 Fuluke 创建,旨在帮助开发者和安全研究人员绕过360杀毒软件的安全检测。通过此工具,你可以测试你的代码或应用程序,了解它们在360安全防护下的行为,从而进行优化或提升安全性。 技术解析 Kdmapper-Bypass360 主要...
KdMapper扩展实现之ASUS(ATSZIO64.sys)
时空之中的灵魂
09-04 228
KdMapper是一个利用intel的驱动漏洞可以无痕的加载未经签名的驱动,本文是利用其它漏洞(参考)做相应的修改以实现类似功能。需要大家对KdMapper的代码有一定了解。
KDMapper:数据可视化的新星,带你探索知识图谱的奥秘
gitblog_00046的博客
04-24 500
KDMapper:数据可视化的新星,带你探索知识图谱的奥秘 去发现同类优质开源项目:https://gitcode.com/ 在大数据时代,如何将复杂的数据关系以直观的方式呈现出来,是许多开发者和分析师面临的挑战。KDMapper 就是一个专注于解决这个问题的开源项目,它是一个强大的、基于浏览器的知识图谱可视化工具。本文将深入解析其技术特性,应用场景以及为何你应该考虑使用它。 项目简介 KDMap...
探索未来游戏反作弊的利器:一款基于kdmapper的内存读取神器
gitblog_00040的博客
06-15 429
???? 探索未来游戏反作弊的利器:一款基于kdmapper的内存读取神器 去发现同类优质开源项目:https://gitcode.com/ 1. 项目概览 在瞬息万变的游戏开发领域,保护游戏不被外挂侵扰是一大挑战。今天,我们特别为您介绍一款源起于kdmapper的经典之作——一个无需驱动即可高效访问受保护游戏内存的秘密武器。这个项目不仅展示了技术创新的力量,更提供了游戏开发者和安全专家对抗作弊行为的新...
windows 内核原理与实现读书笔记之驱动程序初始化
maomao171314的专栏
11-06 984
I/O系统的初始化是在内核的阶段1初始化过程中完成的。主要函数是Phase1InitializationDiscard,它调用IoInitSystem 来初始化I/O系统。 IoInitSystem 初始化工作: 调用IopCreateObjectTypes ,创建7种类型对象:Adapter、DeviceHandler、Controller、Device、Driver、IoCompletion、File,并存放在相应的全局变量中。 WRK中的全局类型对象变量,如下表: CmpKeyObjec
C51单片机位运算详解-LED控制
在C51中,通常是对无符号数进行逻辑右移,即无论原来的符号位如何,都用0填充左侧空出的位。对于有符号数,某些实现可能会保留符号位,这取决于具体编译器。右移相当于除以2的指定次幂。 C51程序结构遵循标准C的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值