某超级注入程序的驱动逆向

最新推荐文章于 2023-12-12 22:27:44 发布
最新推荐文章于 2023-12-12 22:27:44 发布
阅读量370 收藏 2
点赞数
全网优质文章转载收藏,均不代表本人立场!
本文链接:https://blog.csdn.net/lyshark_lyshark/article/details/126792464
版权

1、起因

从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。

1.1运行

让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载 (简单破解一下就行,不是重点)

1.2破解之后

下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。

2、驱动分析

好消息是驱动没有加壳,可以f5分析一下

2.1Wdf驱动

简单浏览一下发现驱动没有设备对象,也没有符号链接,不知道怎么通信的?

2.2初始化

主要是两个函数,第一个是利用系统的回调做自己的通信函数,第二个是注册一个ob回调保护自己。

2.3ob回调

有意思的是它的起始地址并不是在当前驱动中,而是去找ntos中的ffe1(jmp ecx),这里的ecx应该就是RegistrationContext(回调函数中的context),他把RegistrationContext替换成自己的回调。

回调函数很简单,就是当有其他进程打开自己的时候降权。

 这里注册ob回调系统会检查驱动的签名,常见的方式是下面的代码。但他这里就不,它通过hookMmVerifyCallbackFunction返回1来绕过。

#ifdef _WIN64
	PLDR_DATA_TABLE_ENTRY64 ldr;
	ldr = (PLDR_DATA_TABLE_ENTRY64)pDriverObj->DriverSection;
#else
	PLDR_DATA_TABLE_ENTRY32 ldr;
	ldr = (PLDR_DATA_TABLE_ENTRY32)pDriverObj->DriverSection;
#endif
	ldr->Flags |= 0x20;

 2.4 r3和r0通信

驱动使用的通信方式不常见,利用的是ExRegisterAttributeInformationCallback函数中的两个回调函数ExpDisSetAttributeInformation和ExpDisQueryAttributeInformation做通信。

ExpDisQueryAttributeInformation在ExQueryAttributeInformation中被调用

ExQueryAttributeInformation在NtQueryInformationFile中FileInformationClass为FileUnusedInformation时会被调用。

 ExpDisQueryAttributeInformation同理,说明这个驱动的作者还是很有心的,找到了两个可以被利用的回调函数作为驱动r0和r3通信。

 2.5 提供给r3的功能函数

一个有七个,这里简单的看一下

1、查找模块基址

 2、读取目标地址内存

3、写入数据到目标进程

这里如果ZwProtectVirtualMemory失败,之后会关闭cr0的页保护在试一下。

 顺带提一下,使用MmCopyVirtualMemory没有必要自己手动附加到目标进程,因为函数内部会帮你附加,如下图所示。

 4、查询目标进程内存信息

5、设置之前提到的保护进程的pid 

 

 6、在目标进程中申请内存

7、最重要的是如何执行代码,它并没有调用Createthread的一类函数,而是通过修改Trap_frame和Wow64_context来执行自己的代码。

 获取目标进程的一个线程对象

接着暂停线程对象 

 在判断是x64还是x32

x32,获取到teb之后加了0x1488是什么意思?通过查找资料之后不难发现这个是 WOW64_CONTEXT的地址,修改它的eip就能控制查询的执行。

x64下eprocess+0x28是InitialStack,且InitialStack指向的是TrapFrame这个结构体,通过修改TrapFrame的rip就能控制x64 r3下进程的流程,这里的shellcode是保存寄存器和跳转,没详细去分析。

接着插入一个工作线程,用来回收之前申请的内存资源

 

最后恢复线程,执行shellcode加载dll

 over,该驱动在启动线程和r3 r0通信上使用了不常见手法,该驱动作者还是很认真的学习了很多知识。

我真是太菜了!!呜呜呜!!

「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
可以过虚拟机vmp3.6的驱动源码
03-26
最新驱动源码 过虚拟机的VMP 3.6
BadSqlGrammarException PreparedStatementCallback bad SQL grammar
想握住此生辽阔
06-27 7954
解决方法,检查一下sql语句有没有语法错误,或者你插入的表名称是不是谢谢错了
vmp给驱动加壳的注意事项
XboxMicro
02-28 5044
第一种 WINDDK\6001.18002\bin\makefile.new DRIVER_ALIGNMENT=0x80 --> DRIVER_ALIGNMENT=0x200  但是这种方法影响全局 第二种 #pragma comment(linker, "/align:0x1000") #pragma comment(linker, "/filealign:0x100
CSP开发基础--CayptAPI函数库介绍
热门推荐
liuhuiyi的专栏
07-26 1万+
基本加密函数 基本加密函数为开发加密应用程序提供了足够灵活的空间。所有CSP的通讯都是通过这些函数。一个CSP是实现所有加密操作的独立模块。在每一个应用程序中至少需要提供一个CSP来完成所需的加密操作。如果使用多于一个以上的CSP,在加密函数调用中就要指定所需的CSP。微软基本加密提供者(Microsoft Base Cryptographic Provider),是缺省绑定到CryptoA
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 834
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
读写内存源码(驱动级)
09-30
读写内存(驱动级),可直接读取程序(游戏)的内存或OD附加
内核上项目【通信】
最新发布
qq_45844442的博客
12-12 240
获取ExRegisterAttributeInformationCallbackExpDisSetAttributeInformationExpDisQueryAttributeInformation全局变量位置,并将其置为0,以实现执行到注册的目标回调函数。箭头所标记位置进行判断全局变量ExpDisSetAttributeInformationExpDisQueryAttributeInformation是否为空,如果不为空就不进行注册,所以需要在操作步骤一中将其进行置0。进行通信,最后一项的。
驱动开发:通过内存拷贝读写内存
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 833
驱动开发
C++ Ob回调之反向降权破图标驱动源码+易语言调用
08-12
开发环境 Win10 X64/Visual Studio 2019/WDK 10.0 SDK 10.0.19041.0/易语言5.9 今天开源个非常简单的CallBack回调的使用 相信很多人都很熟悉这个回调,一般都是拿来做保护进程使用,但是大部分不知道这个回调还能这么利用,有提权操作当然也有降权, 这些在微软文档也是公开的,只是有时候很难注意到。
IDA.驱动文件逆向工具
04-17
IDA.驱动文件逆向工具,方便逆向DLL文件
微信小程序框架逆向
01-26
思路逆向微信小程序ios端通过tweak工具, 编写动态库注入的方式, hook JSContext/WKWebview 的相关配置IDA/hopper查看微信小程序ios端实现伪代码XX小程序框架 参考微信小程序实现ios/android模式研究微信小程序ios/...
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
手把手教你逆向分析Android程序
02-26
第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?第二张图是微信运动步数作弊,6不6?ok,那我们从头说起Android的反编译,相信大家都应该有所了解,apktool...
x64dbg程序逆向反汇编修改神器
07-12
程序逆向反汇编修改神器,免费开源x64/x32位动态调试器,适用Windows的专业程序调试器,软件支持中文界面和插件,界面及操作方法与OllyDbg调试工具类似,支持类似C表达式解析器、DLL和EXE文件调试、IDA式的跳跃箭头...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
6.附带4个解密案例程序,包括三个exe文件和一个linux程序逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议: IDA pro逆向工具的初步入门,此...
驱动读写进程
ChinaPrc
04-20 1084
NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size) { PSIZE_T Bytes; if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess...
X64下利用ObRegisterCallbacks注册对象回调实现进程保护
CalvinXu
02-08 5225
在X86下,保护进程可以直接利用驱动HOOK SSDT表实现对进程的保护,但到了X64之后,微软了为了保护内核不被随意修改,保护系统的稳定和安全,对驱动增加了两点限制,一是必须有数字签名的驱动才能加载,二是加了PATCHGUARD保护内核,如果发现内核被修改就会直接蓝屏,因此SSDT HOOK不再是很好的方法,但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤...
某flutter-app逆向分析
09-16
某flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析。逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后进行解包操作,将其转换为可读取的文件目录结构。 接下来,我们可以使用一些工具来提取应用的资源文件、代码文件等。对于flutter-app来说,可以提取出dart文件,这是flutter的主要代码文件,其中包含了应用的逻辑实现。 通过阅读dart文件,我们可以了解应用的代码结构、数据模型、界面设计等。可以分析应用的逻辑实现方法,包括各种函数、类、方法的调用关系。 同时,还可以通过分析相关配置文件、资源文件等来了解应用的各种设置、资源加载方式等。 在逆向过程中,还可以使用一些调试工具来进一步了解应用的运行机制。例如,hook工具可以拦截应用的函数调用,并捕获输入输出数据,用于进一步分析。 逆向分析的目的可以有很多,比如了解应用的工作原理、发现潜在的漏洞或安全问题、提供参考用于自己的开发等。 需要注意的是,逆向分析需要遵守法律规定。未经授权的逆向分析可能侵犯他人的知识产权,涉及到隐私等方面的问题。因此,在进行逆向分析之前,应该了解并遵守当地相关法律法规,避免产生法律纠纷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值