关于绕过过滤驱动的资料的个人看法和摘要

最新推荐文章于 2019-04-29 15:07:29 发布
最新推荐文章于 2019-04-29 15:07:29 发布
阅读量1.3k 收藏
点赞数
文章标签: object resources attributes hook integer 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skyair624/article/details/4965529
版权
本文介绍了如何利用IoCallDriver直接传递自定义IRP给目标设备,以绕过过滤驱动。通过IoGetDeviceObjectPointer获取DeviceObject指针,或者使用未文档化的ObReferenceObjectByName函数获取DriverObject指针,从而访问设备。虽然无法避免底层Driver的HOOK,但此方法可以避开一些上层Driver。构造IRP是难点,建议参考网上的资源进行学习。
摘要由CSDN通过智能技术生成

    刻苦钻研了使用驱动直接使用IN/OUT指令来修改MBR,但是读取成功了,而写MBR却一直没有进展,到现在也没有写进去,汗

根据网友提供的链接发现了这篇文章,http://www.codeproject.com/KB/system/rawsectorio.aspx。以下所有的个人看法全部依据本文。

 

    在看这篇文章之前倒是了解过winhex这款软件,也使用这个软件在ring3下修改了MBR,所以就怀着一腔的幻想去调试winhex,结果可想而知,莫有结果,只找到一个函数KiFastSystemCall,由于之前对这些深层的东西没有什么了解,所以也算是有所收获,到这里也就以失败告终了。

发现KiFastSystemCall函数时以为winhex内部用了非正常手段,看了这篇文章后才突然觉悟可能是winhex内部调用的系统API然后由API调用的KiFastSystemCall函数(好像是用来跳转到ring0的吧),所以也就纠正了原来的错误,通过那篇文章(当然要保证链接到文章的正确性),另外了解到的是IoCallDriver原来也是可以利用的。

之前还一直认为IoCallDriver会把IRP传递给传入的DEVICE_OBJECT参数的device stack的栈顶DEVICE_OBJECT,现在回头想想,简直太可笑了,因为这肯定是错误的,

最低0.47元/天 解锁文章
skyair624
关注
Artificial intelligence based anomaly detection of energy consumption in buildings
c_cpp_csharp的专栏
10-08 808
本文是对《Artificial intelligence based anomaly detection of energy consumption in buildings: A review, current trends and new perspectives》的翻译。 基于人工智能的建筑能耗异常检测:综述、当前趋势和新观点摘要1. 引言2. 异常检测方法的回顾2.1 回顾2.1.1 非监督检测(U)2.1.2 监督检测(S)2.1.3 集成方法(E)2.1.4 特征提取(F)2.1.5 混合学习(
最新绕过TX驱动保护TesSafe.sys方法
ccx_john的专栏
01-07 4214
前段时间看过 wanleidawa 兄弟发的帖子 【原创】搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys,给我启发很大。 不过很多人可能对上面的内容不太能理解。我先简单说下他那里的意识,然后在描述下新的方法,来饶过现在的保护。 大家可以使用 反ROOTKIT程序22中文\Yas 来查看被HOOK的函数。这里还要插入一个小话题,就是关于驱动开发环境的搭建,当初也郁闷了我将近一
绕过文件系统过滤驱动和钩子
trents的专栏
02-28 3648
1对付文件系统过滤驱动 文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1373
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
文件过滤驱动开发
yujiankk的专栏
11-01 8613
文件过滤驱动 一、文件透明加解密 关键字:透明、文件过滤驱动、加密标识,缓存   文件过滤驱动最重要的两点是搞定加密标识和缓存管理 1、透明概念: 透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样。      透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加
Windows 文件过滤驱动经验总结
weixin_34410662的博客
11-16 292
by ai3000 看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是 建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少? 只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种 目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步 的更快。二是...
"多视图深度图融合的数据驱动方法
7634中心深度估计中心信心重投影上中心DeFuSR精化中心置信度精化中心深度估计基于逐次重投影的非体积深度融合学习算法西蒙·多恩'安德烈亚斯·盖格自主视觉集团智能系统的MPI和Tubingen统一{simon.donne,andreas....
[转]PKM-个人知识体系建设
dbbv11995的博客
07-20 1万+
这里集中了本站所有关于个人知识库、个人知识体系方面的文章,下面是展开的目录: PKM理论和方法 艾宾浩斯与他的遗忘曲线 记忆核系统 资料整理的方法 电子资料整理技巧 图书馆馆藏电子资料管理方法分析 浅谈资料...
山东大学-网络与信息安全-林丰波-名词解释
博客
01-09 5257
2019年1月9日20个词 1.Chroot chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 1.增加了系统的安全性,限制了用户的权力。 2.建立一个与原系统隔离的系统目录结构,方便...
文件系统过滤驱动基础知识
03-11 496
文件系统过滤驱动基础知识
C++文件系统过滤驱动流程与要点开发与实现(代码)
04-29 975
前段时间一直自己闷着头学驱动,也时常做总结。本篇文章是最先发在我的博客上的,但无奈看的人比较少,无法讨论,也不知道自己的理解是否有错误,所以就想发到吾爱上。第一次发帖,如果有格式不正确、错误或者不严谨的地方请各位大佬帮忙指出或补充,谢谢~ 一、前言 过滤驱动的原理大致都相同,关键就是如何绑到目标设备上。文件系统过滤驱动比起之前的串口过滤驱动有些复杂,复杂点主要就在设备绑定上。加入小编...
绕过SSDT驱动保护
crkres9527
09-16 1326
       A、去掉页面保护        B、写入In Line HOOK代码        C、用OD附加测试效果        D、反HOOK代码 cr0,32位寄存器 MDL 17位CW,1开启页面保护 置0 去掉页面  not (1 shl 16)= 0FFFEFFFFh 10000000000000000 #pragma pack(1) #pragma pack()...
过滤驱动程序总结
bcbobo21cn的专栏
04-13 6595
过滤驱动程序     过滤驱动程序可以修改已有驱动的功能,也可以对数据进行过滤加密。WDM驱动需要通过注册表记录 指定加裁的过滤驱动,OS会读取这些值完成加载,其可以是高层过滤,也可以是低层过滤。而NT较为灵 活,不用设置注册表,直接在内存中寻找设备对象,然后自行创建过滤驱动并将自己附加在这个驱动之 上。     过滤驱动的入口函数需要将所有的IRP都设置
基于文件过滤驱动的透明加密那点事儿
热门推荐
oRbIt 的专栏
08-11 1万+
文件透明加密这点事儿,从2001年开始出现基于API HOOK的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter框架的Layerfsd双缓冲第四代技术。第一代和第二代的技术划分基本上没有异议,所谓的第四代很多人并不认同,认
南京工业大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单).zip
10-04
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单)
基于Java开发的智能文件管家设计源码
最新发布
10-04
该项目是一款基于Java的智能文件管家设计源码,涵盖102个文件,包括29个Java源文件、27个类文件、19个XML配置文件、10个YAML文件、8个列表文件、4个属性文件、4个JAR包文件以及1个Git忽略文件。该系统旨在提供高效便捷的文件管理解决方案。
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动).zip
10-04
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值