【转】还是加载驱动
2009-08-09 13:59
330 查看
作者:Azy
日期:2009-04-23
最近逆向的一点思路和总结,旨在分享。
核心思想:借助m$第一方驱动来加载驱动(通常是ZwLoadDriver),绕过一些HIPS/主防之类。谓之“寄宿”加载法(本人独创?)
方法1:dmload法。之前讲过(http://hi.baidu.com/azy0922/blog/item/3dd20222ba0941ac4723e875.html),通过创建一个特殊的dmload子键,替换掉dmboot实现重启加载。不过此法又要替换又要重启的,利用价值不大,不过是一个良好思路的开始。
方法2:gpc法。类上,不过只需替换文件,缺点是也要重启加载
方法3:termdd法。通过给termdd设备发送一个特定的ioctl code可实现动态驱动加载,不过该法限定加载进程要具有system权限。远程注射可能不是一个良好的方案(容易被报警),附件里提供了一种可行办法。
附件:XPSP2,运行a2s.exe,即刻加载dmboot(随便选了一个,只为测效果)。
----------------------------->
测试可穿越的HIPS
+SSM
+Realtime Defender
+Comodo Defense
+Malware Defender
测试不可穿越的HIPS
+EQSysSecure
日期:2009-04-23
最近逆向的一点思路和总结,旨在分享。
核心思想:借助m$第一方驱动来加载驱动(通常是ZwLoadDriver),绕过一些HIPS/主防之类。谓之“寄宿”加载法(本人独创?)
方法1:dmload法。之前讲过(http://hi.baidu.com/azy0922/blog/item/3dd20222ba0941ac4723e875.html),通过创建一个特殊的dmload子键,替换掉dmboot实现重启加载。不过此法又要替换又要重启的,利用价值不大,不过是一个良好思路的开始。
方法2:gpc法。类上,不过只需替换文件,缺点是也要重启加载
方法3:termdd法。通过给termdd设备发送一个特定的ioctl code可实现动态驱动加载,不过该法限定加载进程要具有system权限。远程注射可能不是一个良好的方案(容易被报警),附件里提供了一种可行办法。
附件:XPSP2,运行a2s.exe,即刻加载dmboot(随便选了一个,只为测效果)。
----------------------------->
测试可穿越的HIPS
+SSM
+Realtime Defender
+Comodo Defense
+Malware Defender
测试不可穿越的HIPS
+EQSysSecure
相关文章推荐
- 浅谈设备、驱动的加载和匹配
- OPENWRT下第三方驱动的加载
- WDM驱动加载的实现(1)
- 驱动还是应用? 这是一个多人提起的问题 韦东山
- Linux驱动:动态加载hello world模块
- linux下驱动模块化编译,动态加载以及卸载
- Windows CE下流驱动的动态加载
- oracle驱动加载
- Linux驱动:动态加载hello world模块
- 转 WINCE流驱动的动态加载调试与用EVC快速开发WINCE的流驱动
- linux驱动的入口函数module_init的加载和释放(转)
- 编译的内核加载驱动,提示failed (Exec format error)
- Kernel启动时 驱动是如何加载的module_init,加载的次序如何;略见本文
- 驱动加载INF文件解析(一)
- 如何使用windbg在驱动加载时下断
- Glide加载网络图片,显示之前的URL图片,换了URL图片还是没变的问题
- 转:WINCE流驱动的动态加载调试与用EVC快速开发WINCE的流驱动
- linux设备和驱动加载的先后顺序
- SystemCrashDumpStateInformation加载驱动
- 在cmd窗口运行需要加载含驱动的java程序