pchunter驱动加载失败_外挂破驱动:80%的外挂都用的读写驱动样本全逆向+功能分析...

最新推荐文章于 2024-03-15 15:55:22 发布
VIP文章 最新推荐文章于 2024-03-15 15:55:22 发布
阅读量5k 收藏 5
点赞数
文章标签: pchunter驱动加载失败

该样本于去年6月份绝地求生wg泛滥时搜集到,根据pdb路径(ReadCFx64Win7ReleaseReadCF.pdb)推测该样本至少2016年PUBG没火时就已经出现而且当时是针对CF写的,直到2018年5月居然还有人把该样本用在自己的绝地求生wg上,曾经用过该样本的wg多达几十款(真的)。

涉及各种原因这里不细说,我们只谈技术,有兴趣的读者可以交流交流,私信(游戏辅助):

184594341e2d058c34952d1e1abf6414.png

先从DriverEntry开始

bdfd3224be2a459c9193639c26fe6972.png
2d5114d63f5fb7fb54cec173ffbb4a29.png
17c59066065448aa26a4e2ce613ef962.png

先从ntos导出了一系列API,存放到g_Context结构中,这里g_Context被优化成了一个个独立的全局变量,实际上作者写的时候是用类似g_Context.PsGetCurrentProcess = MmGetSystemRoutineAddress( 这样的形式

然后是InitAll,先搜索 mouseservicecallback 回调函数

404e3caa81d581c44a6c64cf88a2d0ab.png

先找到mouhid / i8042和mouclass的驱动对象然后遍历mouhid / i8042 的设备栈

74eb314d6e8abf56ce037d2212010663.png

在其设备扩展中找到 servicecallback(特征是地址在DriverStart 到DriverStart+DriverSize 指定的驱动Image区域内并且可以访问)

91c9c0a28088fb608333dc22a098fb21.png

存放进 g_Context.MouseServiceCallback 中,将来用于模拟鼠标操作

↓ pContext = MakeContext(RtlCopyMemory, 0i64, 1);的作用是复制当前驱动的g_Context结构到一片pool内存中,g_Context的大小是0x1E8。

因为该读写驱动加载完即释放,所以需要把本驱动Image空间中的 g_Context结构放到不会被释放的pool内存中。

aae18a4168a0e70a474bab1832a82d19.png

WHAT = AllocCode(&unk_140005140, 0x400u);

↑这个WHAT变量也是分配到一块大小0x400的pool内存中,看起来是一个类似key或者key table的东西ÿ

最低0.47元/天 解锁文章
weixin_39791653
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pchunter支持win10
02-21
pchunter支持win10
win10自动修复失败无限循环_电脑开机显示自动修复失败无法进入系统,解决方法...
热门推荐
weixin_39972264的博客
10-24 5万+
开机进不了系统,蓝屏显示自动修复失败,立马选了启动修复,但可想而知不起作用为什么会出现上图所示的错误呢?大致以下几种情况1)是不是之前没有正常将系统关闭?或者电脑非正常关机?2)可能因为系统更新或者安装软件的时候出了问题,很难知道3)可能什么都没做就这样了分享几个解决方法▼方法一、安模式(尝试能否进入安模式)❶点击上图中【高级选项】→【疑难解答】→【高级选项】→【启动设置】→【重启...
有什么内网安软件,内网防护需要哪些安软件
安企神软件200多项功能模块,致力于让上网行为更规范,工作更高效;终端管理更便捷,保障终端电脑正常稳定让工作更顺畅;让公司数据资产更安全,防止数据泄密让数据更有价值。
03-15 267
有什么内网安软件,内网防护需要哪些安软件
PCHunter_WIN10.zip
03-26
pchunter是一款很好用的小工具,但是大部分的版本都与现在的win10版本不兼容; 这款支持1803版本的win10系统,亲测可用;
PCHunter支持内核驱动模块的内存拷贝
04-28
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook   4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除   5.端口信息查看,目前不支持2000系统   6.查看消息钩子   7.内核模块的iat、eat、inline hook、patches检测和恢复   8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除   9.注册表编辑   10.进程iat、eat、inline hook、patches检测和恢复   11.文件系统查看,支持基本的文件操作   12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME   13.ObjectType Hook检测和恢复   14.DPC定时器检测和删除   15.MBR Rootkit检测和修复   16.内核对象劫持检测
PCHunter(手工殺毒)
08-07
C Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。目前软件支持xp~win8.1的所有32位操作系统,还支持64位的Win7、Win8和Win8.1系统。
PCHunter64
06-05
该工具可分析引起系统 高CPU占用的进程信息,据此进行系统优化,请注意,这是64位操作系统使用的工具,请不要下载错了
任务栏管理器无法结束任务 taskkill也无法结束任务 pchunter加载驱动失败
lxj362343的博客
11-26 3994
任务栏管理器无法结束任务 首先,作为一名程序员,也有自己的苦恼,就是自己造出来的程序杀不死!还占用部分内存!用尽网上各种操作,都无法解决,后来用自己的经验,费了几个小时终于解决了!记录下来,分享给同行,也算是一种贡献吧。 1、在任务栏管理器中的详细信息选项卡显示已挂起,进程选项卡没有看不到进程。解决结束任务无法结束,拒绝访问。 2、使用pchunter1.57加载驱动失败,宣告pchunter方式失败(windows7的朋友可以试试,有可能可以用此方法) 3、使用管理员权限运行cmd,然后t
PCHunter初学习
qq_37954088的博客
06-28 1万+
一、PCHunter简介 PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 二、PCHunter功能 进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 内核驱动模块查看,支持内核驱动模块的内存拷贝 SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检
pchunter驱动加载失败_dubbo源码解读之扩展点加载机制
weixin_39791446的博客
11-29 1036
引入扩展点加载的原因 在大学软件工程这门课程上曾谈到升级维护是整个软件生命周期中最长的一个时间段, 软件的生命力长久与否与软件本身是否易维护、易扩展有直接的关系。所以开闭原则(对修改关闭,对扩展开放)对软件来说就显得非常的重要。 Dubbo的设计者为了实现dubbo的可扩展性,采用了一种微内核的设计思路。微内核架构将系统分成两个模块,一个是核心系统模块,另外一个是插件模块。核心系统负责的是和具体业...
PCHunter —— 很强大的系统信息查看工具
逆枫 -- C++/Qt工程师、创业者
07-13 1万+
1,简介 PCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 附:资料里详细的主要功能有这些: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Sh...
PCHunter.rar
07-19
PCHunter.rar
08.MyPCHunter(遍历驱动模块).zip_7DN_Mypchunter_PCHunter _officeoy8_驱动
07-15
实现PCHunter,自己下载着看吧 还有字数要求
2018年最新版PCHunter+processhacker系统查黑、防黑、修复工具
08-31
PCHunter1.55 X32 X64位 2018年8月14最新版 processhacker v3.0.1847n X32 X64位 2018年8月最新版, 查看系统进程详细参数,系统进程管理,查看驱动,等等等等,找找木马,系统查黑、防黑、修复工具,超级好用。
PChunter64通用版
03-12
PChunter64通用版 系统工具
PCHunter_free.zip
10-20
PCHunter_free.zip分享给大家,请有需要的人学习下载,后续会更新各种网络安工具,请关注
PCHunter+spy.zip
04-24
pchunter和spy++。这个PCHUNTER还需要修改一些地方,基本功能是够用的。
PCHunter_free.rar
12-14
PCHunter_free.rar
Elasticsearch初识与简单案例.pdf
最新发布
04-29
Elasticsearch是一个基于Lucene的分布式文搜索引擎,提供灵活且高效的搜索和分析功能。通过HTTP请求和客户端库,用户可以索引和搜索文档,执行复杂查询,进行数据分析,并享受高亮显示等特性。其高级功能如复合查询、聚合分析、滚动搜索等,使其适用于各种数据处理和分析场景。Elasticsearch还具有强大的监控和日志功能,确保集群稳定运行。总之,Elasticsearch是企业级搜索和分析的理想选择。
pchunter加载驱动失败
07-20
### 回答1: PChunter 是一款高级的系统调试和反恶意软件的工具,它的主要功能是帮助用户发现并处理恶意软件以及修复系统错误。当用户在使用 PChunter 时,如果出现“加载驱动失败”的错误提示,可能是由以下几个原因导致的: 1. 驱动文件缺失或损坏:在使用 PChunter 进行驱动加载时,驱动文件可能因为意外或错误操作而丢失或损坏。这时,需要重新下载或修复相关的驱动文件,并确保其正常运行。 2. 系统权限不足:PChunter 需要管理员权限才能加载驱动。如果当前用户没有足够的权限,就会出现加载驱动失败错误。解决方法是以管理员身份重新运行 PChunter,或者修改当前用户的权限设置,确保具备加载驱动所需的权限。 3. 操作系统不兼容:PChunter 可能与某些操作系统不兼容,导致加载驱动失败。用户可以尝试更新 PChunter 的最新版本,或者选择与其兼容的操作系统来解决这个问题。 4. 防病毒软件阻止加载:某些防病毒软件可能会误判 PChunter 为恶意软件,从而阻止其加载驱动。用户需要先关闭或临时禁用防病毒软件,然后再次尝试加载驱动。 如果以上方法仍然无法解决问题,建议联系 PChunter 官方技术支持团队,提供详细的错误信息和系统配置,以便他们能够更准确地帮助解决加载驱动失败的问题。 ### 回答2: “pchunter加载驱动失败”可能是由于以下几个原因造成的: 1. 驱动文件损坏:可能是由于驱动文件被坏或删除导致加载失败。解决方法是重新下载或从其他可信来源获取正确的驱动文件,并确保其完整无损。 2. 驱动与操作系统不兼容:某些驱动可能只适用于特定的操作系统版本,如果安装的驱动与当前操作系统不兼容,加载就会失败。解决方法是确认驱动的兼容性,并找到适用于当前操作系统的正确版本。 3. 系统冲突:在安装或加载驱动时,可能会与系统中的其他驱动或软件冲突,导致加载失败。解决方法是禁用或卸载可能与加载驱动冲突的软件,并重新尝试加载驱动。 4. 权限限制:某些驱动可能需要管理员权限才能加载成功。解决方法是以管理员身份运行pchunter,或者在安装驱动时确保拥有足够的权限。 5. 硬件问题:加载驱动失败可能是由于硬件故障或设备连接问题引起的。解决方法是检查硬件是否正常连接,并确保设备没有损坏。 针对以上可能的原因,你可以尝试一些解决方法,如重新下载驱动文件、检查驱动与操作系统的兼容性、禁用冲突软件、以管理员身份运行pchunter等。如果问题仍然存在,建议咨询技术支持人员获取更详细的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值