首页
论坛
专栏
课程

[系统底层] [求助]驱动新人.求这条路怎么走?

2016-6-28 15:21 5845

[系统底层] [求助]驱动新人.求这条路怎么走?

2016-6-28 15:21
5845
由于一个月前被某Q群的人忽悠.走上了这条不归路,
当时看的是郁金香的大概是10年左右的那个驱动的教程,那个虽然很旧,但是也带我进入的驱动的入门,当时是用的WIN732跟着搞的,感觉虽然XP和win732有点小差别(SSDT的顺序不太一样),
    但是也能解决的了,但是当看完后有点迷茫了,因为貌似WIN732之后(不包括32)都需要过PatchGuard(俗称PG)和DSE.....而这方面的知识我搜索到的又很少,或者说没有那么容易理解,只看懂了大概的原理就是改两个文件的跳转之类的,而附带的源码都是机器码.
    所以请教下论坛里的大牛们当初是怎么在64位上加载驱动的?是先按照教程,手动禁用签名或者用已经开发好的工具加载?后期学的自己过PG加载驱动?还是先学的[加载驱动]后学的写[驱动]?
    大牛们给一下建议和资料就可以了.在此感谢大牛们的帮助!
PS:新人不准备速成,大牛们能不能推荐一些相关书籍供阅读.最好有如何解决win7,64下如何无签名加载驱动的书籍(....估计不会有这种书吧,有的话微软应该找他打官司了)

[挑战]看雪.纽盾 KCTF 2019晋级赛Q3攻击方进行中……,华为P30 Pro、iPad、kindle等你来拿!

最新回复 (9)
在三砸到 2016-6-28 23:15
2
0
http://bbs.pediy.com/showthread.php?t=187348
hzqst 3 2016-6-28 23:19
3
0
64位开TEST SIGNING 测试模式,用VS自动生成的测试签名就可以加载驱动了,或者你不差钱直接买个签名也行(2000/年)。
xp以上不建议再去考虑什么ssdt hook,一来都是别人玩烂掉的(ARK工具随便搞两下就没了),二来HOOK很容易导致系统不稳定,64位更是干脆不允许内核hook。
如果要做内核级的进程管理,首选肯定是巨硬提供的ObCallbacks和PsSetCreateProcess/CreateThread/LoadImageNotify回调了。
文件管理方面可以考虑做文件过滤驱动,影子系统的核心部分就是用文件过滤驱动做的。
如果觉得这些功能都不够强大,可以考虑上VT(硬件虚拟化),接管一些cpu指令之后可以做很多事情,比如内存保护、不用过PG的ssdt hook、ring3无痕hook之类的。。不过缺点是需要去bios里开启VT,老的CPU还不支持,作为商业应用肯定是不靠谱的。

上面扯了一堆废话,总之想要学习内核编程可以多去看看梦无极、Tesla Angela这两位的论坛,里面有很多很有用的资料,就看你肯不肯花时间看了。
wszgrcy 2016-6-28 23:26
4
0
感谢大牛!就是看了TA大牛的那个编程过PG后。。立马迷茫了,虽然前面的分析都看的还算明白,可是一看源码感觉超出了我的接受能力
wszgrcy 2016-6-28 23:30
5
0
感谢大牛!梦织未来是您说的梦无极写的教程把。刚下载,看到是用WIN7讲课顿时心安了许多,今天百度到一本书叫《WINDOWS内核开发与驱动安全》,听说这个作者一起出过一个天书夜读和寒江独钓,是否值得一看?
在三砸到 2016-6-28 23:34
6
0
我正在看,只能这么说吧,要有驱动开发基础与内核知识基础再去看,如果WDM WDF基础都没有,看了白看
wszgrcy 2016-6-28 23:46
7
0
那我先看一些入门书籍吧,谢谢了
哇咔咔zs 2016-6-29 03:11
8
0
2000一年 需要什么条件吗 比如 我个人 随便写个木马也可以签名?
OnlyForU 2016-6-29 10:11
9
0
同是驱动新手的路过。围观前辈指点。
hzqst 3 2016-6-29 14:51
10
0
申请个人数字签名是需要身份证等一系列证明的、申请企业签名还需要企业营业执照等材料,被人举报给恶意软件、木马打签名一经查实马上就会吊销签名,严重的还可能导致被查水表。
游客
登录 | 注册 方可回帖
返回