驱动逆向学习笔记

最新推荐文章于 2023-09-20 15:32:50 发布
最新推荐文章于 2023-09-20 15:32:50 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动 文章标签: c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/radicwei/article/details/7927801

       驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。
为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量

DriverObject+0x34  DriverUnload
DriverObject+0x38  DeviceCreate
DriverObject+0x40  DeviceClose
DriverObject+0x44  DeviceRead
DriverObject+0x48  DeviceWrite
DriverObject+0x70  DeviceControl
DriverObject+0x80  DeviceClean

IRP+0x18         Irp->IoStatus.Status
IRP+0x1c         Irp->IoStatus.Information

 

Rootkit Unhooker驱动逆向分析
07-25 1644
 这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学 window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免, 高手请飘过,希望对菜鸟学习有点帮助.1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1945
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
access驱动程序_华硕ASIO2.sys驱动程序逆向分析研究
weixin_39690972的博客
11-17 1268
我有个朋友买了一台新PC,然后他在GPU上安装了风扇,并将其连接到GPU板上的接头连接器上,不幸的是,在Linux上设置风扇速度似乎并不容易,风扇不旋转。在Windows上,可以使用ASUS GPU Tweak II。因此,我想将其逆向分析一下了解其工作原理。https://www.asus.com/supportonly/GPUTweak%20II/HelpDesk_Download看...
SERVICE_BOOT_START 驱动程序逆向
FISH 的专栏
09-21 3319
21:33 2007-9-20今天发现了 syser debugger  的 SDbgMsg.sys。 这个驱动程序就是SERVICE_BOOT_START  类型的驱动程序, 在windows 启动后最新给出提示信息 "Press "ESC" to Cancel Load Syser Boot  Module ",我想看看到底是怎样编程实现的:打开 IDA 载入 SDbgMsg.sys
js逆向学习笔记【一篇就够】
weixin_38640052的博客
10-19 1386
js逆向学习笔记-出自陈老师
郁金香驱动学习笔记
09-18
郁金香驱动学习笔记,郁金香驱动学习笔记,郁金香驱动学习笔记
Android系统架构学习笔记.pdf
最新发布
04-18
Android系统架构学习笔记的知识点汇总 1. Android系统架构概览 Android系统架构分为五层,从底层到上层依次为Linux内核层、硬件抽象层、运行库层、应用程序框架层和应用层。系统架构的特点是在Linux内核的基础上,...
Android系统架构学习笔记.doc
04-18
了解Android系统架构,对于进行Android逆向过程的学习来说至关重要。Android系统的架构主要分为五个层次,它们分别是Linux内核层、硬件抽象层、运行库层、应用程序框架层和应用层。 Linux内核层是系统架构的基础,...
郁金香驱动教程全攻略:学习笔记与实践指南
标题“郁金香驱动教程\驱动学习笔记”指出,文档是一份关于驱动开发的学习资料。驱动程序作为操作系统的重要组成部分,负责管理计算机硬件资源,并为应用层提供控制硬件的接口。本文将依据文档的结构和内容,梳理出...
IDA.驱动文件逆向工具
04-17
IDA.驱动文件逆向工具,方便逆向DLL文件
PowerTool x64驱动模块逆向分析(持续更新)
weixin_30784945的博客
05-23 632
比赛打完了,来继续搞了,因为那个主动防御正在写,所以想找找思路正好想到可以来逆向一下PT的驱动模块看看pt大大是怎么写的程序。 PT x64版本的驱动模块是这个kEvP64.sys。 0x0 先来看看DriverEntry 1 //IDA伪代码 2 __int64 __fastcall sub_3A010(struct _DRIVER_OBJECT *a1, __int64 ...
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2907
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 1206
驱动开发
初学驱动逆向,笔记二。
Diomedes's Place
12-20 978
例子: [ \chapter09\StartIOTest ] 本例子的核心代码是HelloDDKStartIO处理过程。 初学驱动逆向逆向函数还原代码,无壳无花,流程也很简单。 IDA反汇编代码: void __stdcall HelloDDKStartIO(_DEVICE_OBJECT *DeviceObject, _IRP *Irp) event= _KEVENT ptr -1Ch
驱动回调的实现与逆向
摔不死的笨鸟的博客
10-27 705
PsSetCreateProcessNotifyRoutineEx函数创建进程回调 NTSTATUS status = PsSetCreateProcessNotifyRoutineEx( (PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE); 第一个参数是真实处理的回调函数,第二个参数是BOOLEAN Remove。为True时即是卸载回调函数。 VOID ProcessNotifyExRoutine(PEPROCESS pEP
逆向一个基于驱动的恶意程序
04-16 2522
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
Icelight驱动部分完整逆向(源代码)
01-08 3059
 by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是LDasm,就直接拿来用了.另一个水平有限,还原成的C版不准确导致有时候结果不正确,无奈之
硬件ID查询欺骗驱动程序样本逆向分析练习IDA使用
weixin_62197674的博客
09-20 1262
参数 *(_QWORD *)(v6 + 24)确定为搜索开始的地址,再向上一行,V6=V24,v24是一个指针地址,结构体指针,还不能确定是哪个结构体,因为ObReferenceObjectByName调用的参数明显不对,IDA中还出现了UNK字段,F5也不是那么好用啊,先向下看。分析到这里可以确定这个驱动为开源的写法,通过关闭smart,hookirp函数达到hwid欺骗的目的,再查询过程中直接找到了个项目的开源地址,哈哈,不过我是为了熟悉ida操作来分析的,无所谓咯。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值