初学驱动逆向,笔记二。

最新推荐文章于 2022-07-31 03:03:59 发布
最新推荐文章于 2022-07-31 03:03:59 发布
阅读量956 收藏
点赞数
文章标签: integer object null 汇编 io byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Diomedes/article/details/7089518
版权
本文是初学者对于驱动逆向的笔记,主要关注于HelloDDKStartIO处理过程的分析。通过IDA进行反汇编,探讨了无壳无花招的简单流程代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例子: [ \chapter09\StartIOTest ]

本例子的核心代码是HelloDDKStartIO处理过程。

初学驱动逆向,逆向函数还原代码,无壳无花,流程也很简单。

IDA反汇编代码:

void __stdcall HelloDDKStartIO(_DEVICE_OBJECT *DeviceObject, _IRP *Irp)

event= _KEVENT ptr -1Ch
timeout= _LARGE_INTEGER ptr -0Ch
oldirql= byte ptr -4
DeviceObject= dword ptr  8
Irp= dword ptr  0Ch

push    ebp
mov     ebp, esp

sub     esp, 1Ch
push    offset Format     // "Enter HelloDDKStartIO\n"
call    _DbgPrint         // KdPrint(("Enter HelloDDKStartIO\n"));
add     esp, 4               // 申请空间
lea     eax, [ebp+oldirql]   // 取地址
push    eax                  // Irql
call    ds:__imp__IoAcquireCancelSpinLock@4    // IoAcquireCancelSpinLock(oldirql);
mov     ecx, [ebp
最低0.47元/天 解锁文章
Diomedes
关注
[系统安全] .如何学好逆向分析及吕布传游戏逆向案例
杨秀璋的专栏
12-13 9629
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文作者先带领大家学习什么是逆向分析,这篇文章将继续普及逆向分析基础知识,告诉大家如何学好逆向分析,并结合作者经验给出逆向分析的路线推荐,最后给出吕布
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6369
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
逆向一个基于驱动的恶意程序
04-16 2497
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
初学驱动逆向笔记一。
Diomedes's Place
12-19 1911
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 1118
驱动开发
逆向一个直接IO硬盘的驱动
04-30 1734
【文章标题】: 逆向一个直接IO硬盘的驱动【文章作者】: prince【作者邮箱】: cracker_prince@163.com【作者QQ号】: 812937【软件名称】: SectorOperator.sys【下载地址】: http://bbs.pediy.com/showthread.php?s=&threadid=30708【加壳方式】: 无【编写语言】: ---【使用工具】: IDA 5
Rootkit Unhooker驱动逆向分析
06-24 1254
作 者: linxer时 间: 2008-06-19,00:31链 接: http://bbs.pediy.com/showthread.php?t=66839这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也
[网络安全自学篇] 六十.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
热门推荐
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[系统安全] 逆向分析之高级动态分析技术笔记
H4ppyD0g的博客
01-16 2272
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。 前文链接 [系统安全] PE文件格式详解1 [系统安全] PE文件格式详解2 [系统安全] Windbg Preview调试记录 [系统安全]《黑客免杀
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2785
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
IDA.驱动文件逆向工具
04-17
IDA.驱动文件逆向工具,方便逆向DLL文件
逆向驱动书籍资料包1
09-09
逆向驱动书籍资料包内涵大量书籍以及资料说明。
驱动逆向学习笔记
radicwei的专栏
08-31 1535
驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。 为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量 DriverObject+0x34  DriverUnload DriverObject+0x38  DeviceCreate DriverObject+0x40
access驱动程序_华硕ASIO2.sys驱动程序逆向分析研究
weixin_39690972的博客
11-17 1222
我有个朋友买了一台新PC,然后他在GPU上安装了风扇,并将其连接到GPU板上的接头连接器上,不幸的是,在Linux上设置风扇速度似乎并不容易,风扇不旋转。在Windows上,可以使用ASUS GPU Tweak II。因此,我想将其逆向分析一下了解其工作原理。https://www.asus.com/supportonly/GPUTweak%20II/HelpDesk_Download看...
驱动回调的实现与逆向
摔不死的笨鸟的博客
10-27 681
PsSetCreateProcessNotifyRoutineEx函数创建进程回调 NTSTATUS status = PsSetCreateProcessNotifyRoutineEx( (PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE); 第一个参数是真实处理的回调函数,第个参数是BOOLEAN Remove。为True时即是卸载回调函数。 VOID ProcessNotifyExRoutine(PEPROCESS pEP
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2493
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程和模块上有没有什么特别的地方 有一个线程P...
Icelight驱动部分完整逆向(源代码)
01-08 3037
 by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是LDasm,就直接拿来用了.另一个水平有限,还原成的C版不准确导致有时候结果不正确,无奈之
逆向fuck.sys--编译通过--源码
06-07 1697
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章作者:sudami前言:一直很向往进入Debugman论坛的RCT这个核心团队,但自己水平有限,最后没有过关. 呵呵,不过俺从中学到了很多东西,于是发此帖分享一下学习成果;也顺便请教各位大牛,希望您有时间的话,逆一份更加好的code.偶逆的这份code虽然大致实现了原来驱动的功能,但写的毕竟很粗糙,希望有逆向经验的同学能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值