逆向一个直接IO硬盘的驱动

最新推荐文章于 2023-10-10 15:50:17 发布
最新推荐文章于 2023-10-10 15:50:17 发布
阅读量1.7k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: io disk byte c parameters buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2348996
版权

【文章标题】: 逆向一个直接IO硬盘的驱动
【文章作者】: prince
【作者邮箱】: cracker_prince@163.com
【作者QQ号】: 812937
【软件名称】: SectorOperator.sys
【下载地址】: http://bbs.pediy.com/showthread.php?s=&threadid=30708
【加壳方式】: 无
【编写语言】: ---
【使用工具】: IDA 5.0
【操作平台】: WINDOWS XP
【软件介绍】: 利用驱动直接IO硬盘
【作者声明】: 水平有限,了解不多,仅作参考。
--------------------------------------------------------------------------------
【前言】
  对直接IO硬盘比较感兴趣,找到了这个程序看了看,作者的办法有限制,只能正确操作第1-63个sector,原因未知,希望哪位大侠可以指点一下。现在的硬盘已经逐渐突破了几个级别容量的限制,所以新的协议应该也可以利用来正确IO硬盘,大家可以研究研究。本人纯属入门级选手,所以各位看到有什么解释的不妥或者直接让您喷饭地方,还请不吝赐教,

谢谢。
 
【详细过程】
  IDA载入驱动,可以很清楚地找到关键部分,其他地方见源码:

---------------------------------------------------------------------------
.text:004010F9 ; *************** S U B R O U T I N E ***************************************
.text:004010F9
.text:004010F9 ; Attributes: bp-based frame
.text:004010F9
.text:004010F9 ; int __stdcall sub_4010F9(int,PIRP Irp)
.text:004010F9 sub_4010F9     proc near           ; DATA XREF: start+24o
.text:004010F9
.text:004010F9 var_438       = dword ptr -438h
.text:004010F9 var_434       = byte ptr -434h
.text:004010F9 var_430       = byte ptr -430h
.text:004010F9 var_42C       = dword ptr -42Ch
.text:004010F9 var_22C       = dword ptr -22Ch
.text:004010F9 var_228       = byte ptr -228h
.text:004010F9 var_224       = byte ptr -224h
.text:004010F9 var_220       = dword ptr -220h
.text:004010F9 var_20       = dword ptr -20h
.text:004010F9 var_1C       = dword ptr -1Ch
.text:004010F9 var_18       = dword ptr -18h
.text:004010F9 var_14       = dword ptr -14h
.text:004010F9 var_10       = dword ptr -10h
.text:004010F9 var_C       = dword ptr -0Ch
.text:004010F9 var_8       = dword ptr -8
.text:004010F9 var_4       = dword ptr -4
.text:004010F9 Irp         = dword ptr 0Ch
.text:004010F9
.text:004010F9           push   ebp
.text:004010FA           mov   ebp, esp
.text:004010FC           sub   esp, 438h
.text:00401102           push   ebx
.text:00401103           push   esi
.text:00401104           push   edi
.text:00401105           mov   [ebp+var_18], 0C0000010h ; var_18 = STATUS_INVALID_DEVICE_REQUEST (0xC0000010)
.text:0040110C           mov   eax, [ebp+Irp]
.text:0040110F           mov   ecx, [eax+60h] ; ecx = IrpStack
.text:0040110F                           ; from wdm.h:
.text:0040110F                           ; #define IoGetCurrentIrpStackLocation( Irp ) ( (Irp)->Tail.Overlay.CurrentStackLocation )
.text:00401112           mov   [ebp+var_8], ecx ; var_8 = IrpStack
.text:00401115           mov   edx, [ebp+var_8]
.text:00401118           mov   eax, [edx+0Ch] ; eax = IrpStack->Parameters.DeviceIoControl.IoControlCode
.text:0040111B           mov   [ebp+var_4], eax ; var_4 = dwControlCode
.text:0040111E           mov   ecx, [ebp+Irp]
.text:00401121           mov   edx, [ecx+0Ch] ; edx = Irp->AssociatedIrp.SystemBuffer
.text:00401124           mov   [ebp+var_1C], edx ; var_1C = Irp->AssociatedIrp.SystemBuffer
.text:00401127           mov   eax, [ebp+var_8]
.text:0040112A           mov   ecx, [eax+8]   ; ecx = IrpStack->Parameters.DeviceIoControl.InputBufferLength
.text:0040112D           mov   [ebp+var_14], ecx ; var_14 =
.text:0040112D                           ; IrpStack->Parameters.DeviceIoControl.InputBufferLength
.text:00401130           mov   edx, [ebp+var_8]
.text:00401133           mov   eax, [edx+4]   ; eax =
.text:00401133                           ; IrpStack->Parameters.DeviceIoControl.OutputBufferLength
.text:00401136           mov   [ebp+var_C], eax ; var_C =
.text:00401136                           ; IrpStack->Parameters.DeviceIoControl.OutputBufferLength
.text:00401139           mov   byte ptr [ebp+var_10], 1 ; var_10 = 1
.text:00401139                           ; 读写操作标志
.text:0040113D           mov   ecx, [ebp+var_4] ; ecx = dwControlCode
.text:00401140           mov   [ebp+var_438], ecx ; var_438 = dwControlCode
.text:00401146           cmp   [ebp+var_438], 2220C0h ; dwControlCode == 0x2220c0 ? (写操作)
.text:00401150           jz     short loc_401167 ; 相等则跳走
.text:00401150
.text:00401152           cmp   [ebp+var_438], 2220C4h ; dwControlCode == 0x2220c4 ? (读操作)
.text:0040115C           jz     loc_401216     ; 相等则跳走
.text:0040115C
.text:00401162           jmp   loc_4012C7     ; 直接跳走返回
.text:00401162
.text:00401167 ; ---------------------------------------------------------------------------
.text:00401167
.text:00401167 loc_401167:                   ; CODE XREF: sub_4010F9+57j
.text:00401167           cmp   [ebp+var_14], 202h ; InputBufferLength == 0x202 ?
.text:0040116E           jnz   loc_401211     ; 不相等则跳走返回
.text:0040116E
.text:00401174           cmp   [ebp+var_C], 0 ; OutputBufferLength == 0 ?
.text:00401178           jnz   loc_401211     ; 不相等则跳走返回
.text:00401178
.text:0040117E           mov   edx, [ebp+var_1C]
.text:00401181           mov   [ebp+var_20], edx ; var_20 = Irp->AssociatedIrp.SystemBuffer
.text:00401184           mov   eax, [ebp+var_20]
.text:00401187           mov   cl, [eax]
.text:00401189           mov   [ebp+var_224], cl ; var_224 = SystemBuffer中的数据
.text:0040118F           mov   edx, [ebp+var_20]
.text:00401192           movsx   eax, byte ptr [edx+1] ; 下面的写操作部分不写注释了,参见读过程
.text:00401196           neg   eax
.text:00401198           sbb   eax, eax
.text:0040119A           and   eax, 10h
.text:0040119D           add   eax, 0A0h
.text:004011A2           mov   [ebp+var_228], al
.text:004011A8           mov   esi, [ebp+var_20]
.text:004011AB           add   esi, 2
.text:004011AE           mov   ecx, 80h
.text:004011B3           lea   edi, [ebp+var_220]
.text:004011B9           rep movsd
.text:004011BB           mov   dx, 1F6h
.text:004011BF           mov   al, [ebp+var_228]
.text:004011C5           out   dx, al       ; AT hard disk controller:
.text:004011C5                           ; Drive & Head.
.text:004011C5                           ; Read/Write: bits indicate head, drive for operation
.text:004011C6           mov   dx, 1F2h
.text:004011CA           mov   al, 1
.text:004011CC           out   dx, al       ; AT hard disk controller:
.text:004011CC                           ; Sector count.
.text:004011CC                           ; Read/Write count of sectors for operation
.text:004011CD           mov   dx, 1F3h
.text:004011D1           mov   al, [ebp+var_224]
.text:004011D7           out   dx, al       ; AT hard disk controller:
.text:004011D7                           ; Sector number.
.text:004011D7                           ; Read/Write current/starting logical sector number
.text:004011D8           mov   dx, 1F4h
.text:004011DC           mov   al, 0
.text:004011DE           out   dx, al       ; AT hard disk controller:
.text:004011DE                           ; Cylinder high (bits 0-1 are bits 8-9 of 10-bit cylinder number)
.text:004011DF           mov   dx, 1F5h
.text:004011E3           out   dx, al       ; AT hard disk controller:
.text:004011E3                           ; Cylinder low (bits 0-7 of 10-bit cylinder number)
.text:004011E4           mov   dx, 1F7h
.text:004011E8           mov   al, 30h
.text:004011EA           out   dx, al       ; AT hard disk
.text:004011EA                           ; command register:
.text:004011EA                           ; 1?H = Restore to cylinder 0
.text:004011EA                           ; 7?H = Seek to cylinder
.text:004011EA                           ; 2?H = Read sector
.text:004011EA                           ; 3xH = Write sector
.text:004011EA                           ; 50H = Format track
.text:004011EA                           ; 4xH = verify read
.text:004011EA                           ; 90H = diagnose
.text:004011EA                           ; 91H = set parameters for drive
.text:004011EA
.text:004011EB
.text:004011EB loc_4011EB:                   ; CODE XREF: sub_4010F9+F5j
.text:004011EB           in     al, dx       ; AT hard disk
.text:004011EB                           ; status register bits:
.text:004011EB                           ; 0: 1=prev cmd error
.text:004011EB                           ; 2: Corrected data
.text:004011EB                           ; 3: Data Request. Buffer is busy
.text:004011EB                           ; 4: Seek completed
.text:004011EB                           ; 5: Write fault
.text:004011EB                           ; 6: Drive ready (unless bit 4=0)
.text:004011EB                           ; 7: Busy
.text:004011EC           test   al, 8
.text:004011EE           jz     short loc_4011EB
.text:004011EE
.text:004011F0           xor   ecx, ecx
.text:004011F2           mov   cx, 100h
.text:004011F6           lea   esi, [ebp+var_220]
.text:004011FC           mov   dx, 1F0h
.text:00401200           cli
.text:00401201           cld
.text:00401202           rep outsw
.text:00401205           sti
.text:00401206           mov   [ebp+var_18], 0 ; status = NT_SUCCESS (0)
.text:0040120D           mov   byte ptr [ebp+var_10], 0 ; var_10 = 0
.text:0040120D                           ; 表示是写操作
.text:0040120D
.text:00401211
.text:00401211 loc_401211:                   ; CODE XREF: sub_4010F9+75j
.text:00401211                           ; sub_4010F9+7Fj
.text:00401211           jmp   loc_4012C7
.text:00401211
.text:00401216 ; ---------------------------------------------------------------------------
.text:00401216
.text:00401216 loc_401216:                   ; CODE XREF: sub_4010F9+63j
.text:00401216           cmp   [ebp+var_14], 2 ; InputBufferLength == 2 ?
.text:0040121A           jnz   loc_4012C7     ; 不相等则跳走返回
.text:0040121A
.text:00401220           cmp   [ebp+var_C], 200h ; OutputBufferLength == 0x200 ?
.text:00401227           jnz   loc_4012C7     ; 不相等则跳走返回
.text:00401227
.text:0040122D           mov   ecx, [ebp+var_1C] ; ecx = Irp->AssociatedIrp.SystemBuffer
.text:00401230           mov   [ebp+var_22C], ecx ; var_22C = Irp->AssociatedIrp.SystemBuffer
.text:00401236           mov   edx, [ebp+var_22C] ; edx = Irp->AssociatedIrp.SystemBuffer (InputBuffer)
.text:0040123C           mov   al, [edx]     ; edx = *InputBuffer (要读取的扇区号码)
.text:0040123E           mov   [ebp+var_430], al ; var_430 = 目标扇区号
.text:00401244           mov   ecx, [ebp+var_22C]
.text:0040124A           movsx   edx, byte ptr [ecx+1] ; 取InputBuffer的第2个字节 (硬盘号?)
.text:0040124E           neg   edx         ; 取edx补码
.text:00401250           sbb   edx, edx     ; 带借位减法
.text:00401252           and   edx, 10h     ; edx &= 0x10
.text:00401255           add   edx, 0A0h     ; edx += 0xA0
.text:0040125B           mov   [ebp+var_434], dl ;
.text:00401261           mov   al, [ebp+var_434]
.text:00401267           mov   dx, 1F6h     ; 指定0x1f6端口
.text:0040126B           out   dx, al       ; 将计算结果写入0x1f6端口中
.text:0040126B                           ;
.text:0040126B                           ; 1f6h----低四位是起始LBA的bit24-bit27,
.text:0040126B                           ; 第五位是设备选择,0是master,1是slave.
.text:0040126B                           ; 我们读的是master,应设为0,第七位设为1表示使用LBA,
.text:0040126B                           ; 现在硬盘都使用LBA,应置起来。其他两个bit要求为1
.text:0040126B                           ;
.text:0040126B                           ; AT hard disk controller:
.text:0040126B                           ; Drive & Head.
.text:0040126B                           ; Read/Write: bits indicate head, drive for operation
.text:0040126B                           ;
.text:0040126B                           ;
.text:0040126C           mov   al, 1       ; al = 1
.text:0040126E           mov   dx, 1F2h     ; 指定0x1f2端口
.text:00401272           out   dx, al       ; 1f2h----操作的扇区个数
.text:00401272                           ;
.text:00401272                           ; AT hard disk controller:
.text:00401272                           ; Sector count.
.text:00401272                           ; Read/Write count of sectors for operation
.text:00401272                           ;
.text:00401272                           ;
.text:00401273           mov   al, [ebp+var_430] ; al = 目标扇区号
.text:00401279           mov   dx, 1F3h     ; 1f3h----起始LBA的bit0-bit7
.text:0040127D           out   dx, al       ; 设置目标扇区号
.text:0040127D                           ;
.text:0040127D                           ; AT hard disk controller:
.text:0040127D                           ; Sector number.
.text:0040127D                           ; Read/Write current/starting logical sector number
.text:0040127D                           ;
.text:0040127D                           ;
.text:0040127E           xor   al, al       ; al = 0
.text:00401280           mov   dx, 1F4h     ; 1f4h----起始LBA的bit8-bit15
.text:00401284           out   dx, al       ; AT hard disk controller:
.text:00401284                           ; Cylinder high (bits 0-1 are bits 8-9 of 10-bit cylinder number)
.text:00401284                           ;
.text:00401284                           ;
.text:00401285           mov   dx, 1F5h     ; 1f5h----起始LBA的bit16-bit23
.text:00401289           out   dx, al       ; AT hard disk controller:
.text:00401289                           ; Cylinder low (bits 0-7 of 10-bit cylinder number)
.text:00401289                           ;
.text:00401289                           ;
.text:0040128A           mov   al, 20h       ; al = 0x20
.text:0040128C           mov   dx, 1F7h     ; 1F7 disk 0 status
.text:00401290           out   dx, al       ; AT hard disk
.text:00401290                           ; command register:
.text:00401290                           ; 1?H = Restore to cylinder 0
.text:00401290                           ; 7?H = Seek to cylinder
.text:00401290                           ; 2?H = Read sector
.text:00401290                           ; 3xH = Write sector
.text:00401290                           ; 50H = Format track
.text:00401290                           ; 4xH = verify read
.text:00401290                           ; 90H = diagnose
.text:00401290                           ; 91H = set parameters for drive
.text:00401290
.text:00401291
.text:00401291 loc_401291:                   ; CODE XREF: sub_4010F9+19Bj
.text:00401291           in     al, dx       ; 读取0x1f7端口数据
.text:00401291                           ;
.text:00401291                           ; AT hard disk
.text:00401291                           ; status register bits:
.text:00401291                           ; 0: 1=prev cmd error
.text:00401291                           ; 2: Corrected data
.text:00401291                           ; 3: Data Request. Buffer is busy
.text:00401291                           ; 4: Seek completed
.text:00401291                           ; 5: Write fault
.text:00401291                           ; 6: Drive ready (unless bit 4=0)
.text:00401291                           ; 7: Busy
.text:00401292           test   al, 8       ; 是否完成?
.text:00401294           jz     short loc_401291
.text:00401294
.text:00401296           xor   ecx, ecx     ; ecx = 0
.text:00401298           mov   cx, 100h     ; cx = 0x100
.text:0040129C           mov   dx, 1F0h     ; 1F0--存有结果数据
.text:004012A0           lea   edi, [ebp+var_42C]
.text:004012A6           cli               ; 关中断
.text:004012A7           cld               ; 清除方向标志
.text:004012A7                           ;
.text:004012A8           rep insw          
.text:004012A8                           ;
.text:004012AB           sti               ; 开中断
.text:004012AC           mov   ecx, 80h     ; ecx = 0x80
.text:004012B1           lea   esi, [ebp+var_42C] ; esi指向读出的数据
.text:004012B7           mov   edi, [ebp+var_1C] ; var_1C = Irp->AssociatedIrp.SystemBuffer
.text:004012BA           rep movsd           ; 将数据拷贝到SystemBuffer中
.text:004012BC           mov   [ebp+var_18], 0 ; status = NT_SUCCESS (0)
.text:004012C3           mov   byte ptr [ebp+var_10], 1 ; var_10 = 1
.text:004012C3                           ; 表示是读操作
.text:004012C3
.text:004012C7
.text:004012C7 loc_4012C7:                   ; CODE XREF: sub_4010F9+69j
.text:004012C7                           ; sub_4010F9:loc_401211j
.text:004012C7                           ; sub_4010F9+121j
.text:004012C7                           ; sub_4010F9+12Ej
.text:004012C7           cmp   [ebp+var_18], 0 ; 判断操作是否成功?
.text:004012CB           jnz   short loc_4012E4 ; 不成功则跳走
.text:004012CB
.text:004012CD           mov   eax, [ebp+var_10] ; eax = var_10
.text:004012CD                           ; 根据读写操作设置Information长度
.text:004012D0           and   eax, 0FFh
.text:004012D5           neg   eax
.text:004012D7           sbb   eax, eax
.text:004012D9           and   eax, 200h
.text:004012DE           mov   ecx, [ebp+Irp]
.text:004012E1           mov   [ecx+1Ch], eax ; 指定拷贝到User buffer的buffer size
.text:004012E1                           ; Irp->IoStatus.Information =
.text:004012E1
.text:004012E4
.text:004012E4 loc_4012E4:                   ; CODE XREF: sub_4010F9+1D2j
.text:004012E4           mov   edx, [ebp+Irp]
.text:004012E7           mov   eax, [ebp+var_18]
.text:004012EA           mov   [edx+18h], eax ; Irp->IoStatus.Status = status
.text:004012ED           xor   dl, dl       ; PriorityBoost
.text:004012EF           mov   ecx, [ebp+Irp] ; Irp
.text:004012F2           call   ds:IofCompleteRequest ; complete Irp
.text:004012F8           mov   eax, [ebp+var_18] ; 返回status
.text:004012FB           pop   edi
.text:004012FC           pop   esi
.text:004012FD           pop   ebx
.text:004012FE           mov   esp, ebp
.text:00401300           pop   ebp
.text:00401301           retn   8
.text:00401301
.text:00401301 sub_4010F9     endp


--------------------------------------------------------------------------------
【总结】
    以上是很清晰的0x1f0 - 0x1f7的端口操作过程,未列出的端口或者想了解更详细的信息请自己Google吧。
   源代码见附件。

硬盘篇1-IDE硬盘的直接IO

对硬盘进行操作的常用端口是1f0h~1f7h号端口,各端口含义如下:
端口号 读还是写 具体含义
1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据)
1F1H 读 用来读取错误码
1F2H 读/写 用来放入要读写的扇区数量
1F3H 读/写 用来放入要读写的扇区号码
1F4H 读/写 用来存放读写柱面的低8位字节
1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0)
1F6H 读/写 用来存放要读/写的磁盘号及磁头号
第7位 恒为1
第6位 恒为0
第5位 恒为1
第4位 为0代表第一块硬盘、为1代表第二块硬盘
第3~0位 用来存放要读/写的磁头号
1f7H 读 用来存放读操作后的状态
第7位 控制器忙碌
第6位 磁盘驱动器准备好了
第5位 写入错误
第4位 搜索完成
第3位 为1时扇区缓冲区没有准备好
第2位 是否正确读取磁盘数据
第1位 磁盘每转一周将此位设为1,
第0位 之前的命令因发生错误而结束
写 该位端口为命令端口,用来发出指定命令
为50h 格式化磁道
为20h 尝试读取扇区
为21h 无须验证扇区是否准备好而直接读扇区
为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)
为23h 无须验证扇区是否准备好而直接读长扇区
为30h 尝试写扇区
为31h 无须验证扇区是否准备好而直接写扇区
为32h 尝试写长扇区
为33h 无须验证扇区是否准备好而直接写长扇区
注:当然看完这个表你会发现,这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法,不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^

 

初学驱动逆向,笔记二。
Diomedes's Place
12-20 972
例子: [ \chapter09\StartIOTest ] 本例子的核心代码是HelloDDKStartIO处理过程。 初学驱动逆向逆向函数还原代码,无壳无花,流程也很简单。 IDA反汇编代码: void __stdcall HelloDDKStartIO(_DEVICE_OBJECT *DeviceObject, _IRP *Irp) event= _KEVENT ptr -1Ch
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1938
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2878
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 1176
驱动开发
如何对西数硬盘固件进行逆向分析
weixin_33892359的博客
04-25 360
几年前我就开始做BIOS rootkits方面的东西(在UEFI成为主流之前)。我知道在初始化启动过程的后期阶段,大多数硬件都有一个BIOS类型设置 ,我的主要关注GPU和硬盘。本文我所做的是我曾经 在 spritesmods 上看到的一些东西。 硬盘破解 我发现一个老版本的西部数码硬盘驱动器很适合现在的研究,所以我把控制器卸下来。 Spritesm...
linux驱动 pcie 框架_【原创】Linux PCI驱动框架分析(一)
weixin_39974932的博客
12-21 570
背景Read the fucking source code! --By 鲁迅A picture is worth a thousand words. --By 高尔基说明:Kernel版本:4.14ARM64处理器使用工具:Source Insight 3.5, Visio1. 概述从本文开始,将会针对PCIe专题来展开,涉及的内容包括:PCI/PCIe总线硬件;Linux PCI驱动核心框架...
深度学习:智能时代的核心驱动力量
GitChat
03-20 1万+
内容简介 科技巨头纷纷拥抱学习,自动驾驶、AI、语音识别、图像识别、智能翻译以及震惊世界的 AlphaGo,背后都是学习在发挥的作用。学习是人工智能从概念到繁荣得以实现的主流技术。经过学习训练的计算机,不再被动按照指令运转,而是像自然进化的生命那样,开始自主地从经验中学习。 本书作者特伦斯 · 谢诺夫斯基是人工智能十大科学家之一、学习先驱及奠基者,亲历了学习在 20 世纪 70 年代到 90 年...
从0开始,设计研发一个全功能通用大数据系统
热门推荐
GitChat
04-12 6万+
在计算机产业发展的70年时间里,每一次的 IT 革命,无不带来:更低廉的价格、更完善的功能、更便捷的使用、更广阔的市场! 大数据经过10年发展,现在已经到了一个重要的分水岭阶段:通用性和兼容性能力成为大数据发展主流,运行的稳定可靠和使用的简捷、易开发、易维护成为产品发展的驱动力,而这正是 Hadoop/Spark 这类积木式模块框架无法满足的。 本 Chat 讲述这样一个通用大数据系统:系从0开始...
硬盘序列号修改技术:DISKHook与deviceiocontrol API的应用
6. DISKHook工具:这是一个实现上述功能的工具或项目名称。它可能包含了用于hook deviceiocontrol API并修改硬盘序列号的代码库或软件。开发者可以通过这个工具实现硬盘序列号的修改,以满足特定的开发或测试需求。 ...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
最新发布
aming小老弟
10-10 2063
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
逆向一个基于驱动的恶意程序
04-16 2515
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
逆向随笔——对可以过TP的注入驱动的一次逆向
Lixinist的博客
10-21 2536
前言: 逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。 今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。 正文: 接收过来压缩包,看了一下 loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。 先跑起来,看看线程和模块上有没有什么特别的地方 有一个线程P...
Rootkit Unhooker驱动逆向分析
06-24 1265
作 者: linxer时 间: 2008-06-19,00:31链 接: http://bbs.pediy.com/showthread.php?t=66839这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也
IO逆序反转输出
fzy821205的专栏
01-11 620
package io;import java.io.*;import java.util.ArrayList;/** * 前面注解在IO反转文章中 * @author zhouliang * 把文件1内容反转输出到文件2 * 写入的  我是中国人 *            我叫周亮 * 效果是  亮周叫我 *            人国中是我  */public class FanZhuan2 {
硬件ID查询欺骗驱动程序样本逆向分析练习IDA使用
weixin_62197674的博客
09-20 1240
参数 *(_QWORD *)(v6 + 24)确定为搜索开始的地址,再向上一行,V6=V24,v24是一个指针地址,结构体指针,还不能确定是哪个结构体,因为ObReferenceObjectByName调用的参数明显不对,IDA中还出现了UNK字段,F5也不是那么好用啊,先向下看。分析到这里可以确定这个驱动为开源的写法,通过关闭smart,hookirp函数达到hwid欺骗的目的,再查询过程中直接找到了个项目的开源地址,哈哈,不过我是为了熟悉ida操作来分析的,无所谓咯。
通过逆向分析360safe驱动取得的源码
doskey的专栏
10-06 2635
从AntiAdwa.dll的资源中取得的pnp%s.sys 。中午午休的时候将其逆向分析重新写成源码。注意,编译号的驱动必须以boot方式启动才会有效。附件中有源码和idb文件。免责声明:此文件是由逆向分析取得,只可用于学习研究之用途。本人对他人使用本文件中的代码所引起的后果概不负责。下载链接:http://www.erawtfos.com/others/pnp.rar 我blog上的
驱动调用底层的硬件
qq_1335857320的博客
12-15 851
方式二:动态方式模式驱动LED灯    基本理论:  硬件上的资源都是由操作来管理分配的.因为在内核中,很多的驱动或者别的一些应用程序可能会公用一个资源,这样会导致发生资源冲突。这个时候需要一个管理人员,来分配所有的资源。资源一档给了你,就无法给别人了 。 动态映射的相关函数 函数一:第一步申请资源: 参数一:物理地址 :S5PV210_GPJ0CON_PA      参数二:数
IDA使用之旅(一)用IDA查看最简单的sys文件
chenyujing1234的专栏
07-20 1万+
转载请标明是引用于 http://blog.youkuaiyun.com/chenyujing1234  欢迎大家拍砖!   本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。 使用的IDA软件版本: IDA.pro.5.5 (参考下载地址: http://www.pc6.com/softview/SoftView_55231.html) 下载后得到IDA.pro.5.5dapr
如何对西数硬盘固件进行逆向分析(下)
weixin_34198881的博客
04-29 297
这篇文章其实是有很多个小部分,为了大家阅读方便,我将其整合成了上下两个部分(第一部分),其中有一些地方翻译起来较为困难(老外废话真的很多),望各位嘴下留情。 启动代码貌似只是分布在不同的内存地址,但没有什么简单的办法能够将它们全部导出,所以我决定从内存的0×00000000开始导出区块然后所有的都来引用这个区块的外部地址(建立一个基本的代码地图)。 虽然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值