某超级注入程序的驱动逆向

最新推荐文章于 2023-12-12 22:27:44 发布
最新推荐文章于 2023-12-12 22:27:44 发布
阅读量414 收藏 2
点赞数
全网优质文章转载收藏,均不代表本人立场!
本文链接:https://blog.csdn.net/lyshark_lyshark/article/details/126792464
版权

1、起因

从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。

1.1运行

让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载 (简单破解一下就行,不是重点)

1.2破解之后

下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。

2、驱动分析

好消息是驱动没有加壳,可以f5分析一下

2.1Wdf驱动

简单浏览一下发现驱动没有设备对象,也没有符号链接,不知道怎么通信的?

2.2初始化

主要是两个函数,第一个是利用系统的回调做自己的通信函数,第二个是注册一个ob回调保护自己。

2.3ob回调

有意

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1795
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
读写内存源码(驱动级)
09-30
读写内存(驱动级),可直接读取程序(游戏)的内存或OD附加
内核上项目【通信】
qq_45844442的博客
12-12 275
获取ExRegisterAttributeInformationCallback中ExpDisSetAttributeInformation、ExpDisQueryAttributeInformation全局变量位置,并将其置为0,以实现执行到注册的目标回调函数。箭头所标记位置进行判断全局变量ExpDisSetAttributeInformation、ExpDisQueryAttributeInformation是否为空,如果不为空就不进行注册,所以需要在操作步骤一中将其进行置0。进行通信,最后一项的。
驱动开发:通过内存拷贝读写内存
热门推荐
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 887
驱动开发
驱动注入,驱动注入工具,C,C++
09-10
驱动注入是一种高级的系统编程技术,常用于软件开发和逆向工程中,它涉及操作系统内核、设备驱动程序以及用户模式应用程序之间的交互。在本文中,我们将深入探讨驱动注入的概念、工作原理,以及如何实现驱动注入,...
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
微信小程序框架逆向
01-26
思路逆向微信小程序ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置IDA/hopper查看微信小程序ios端实现伪代码XX小程序框架 参考微信小程序实现ios/android模式研究微信小程序ios/...
程序逆向完整的过程
最新发布
07-02
程序逆向完整的过程
C++ Ob回调之反向降权破图标驱动源码+易语言调用
08-12
开发环境 Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9 今天开源个非常简单的CallBack回调的使用 相信很多人都很熟悉这个回调,一般都是拿来做保护进程使用,但是大部分不知道这个回调还能这么利用,有提权操作当然也有降权, 这些在微软文档也是公开的,只是有时候很难注意到。
IDA.驱动文件逆向工具
04-17
IDA.驱动文件逆向工具,方便逆向DLL文件
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 1763
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
驱动读写进程
ChinaPrc
04-20 1119
NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size) { PSIZE_T Bytes; if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6830
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
内核驱动程序完整性校验的原理分析
lixiangminghate的专栏
08-31 4973
转自:小刀志      在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后,驱动中调用的一些系统回调函数(如 ObRegisterCallbacks,可用来监控系统中对进线程句柄的操作,如打开进程、复制线程句柄等)等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查,检测未通过则会返
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 903
_LDR_DATA_TABLE_ENTRY结构体
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5352
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
Android逆向分析入门:从反编译到Smali解析
"手把手教你逆向分析Android程序" 本文将深入探讨如何进行Android程序逆向分析,通过实例展示如何利用各种工具揭示应用程序的工作原理,以及如何进行安全防护。首先,我们来看一下Android应用的基本结构,这对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值