首页
论坛
课程
招聘
[原创]HideToolz's Driver逆向分析。。。
2007-4-29 20:49 18356

[原创]HideToolz's Driver逆向分析。。。

2007-4-29 20:49
18356
对这个软件的AntiHook比较感兴趣,想看看他是怎么实现的。。。于是逆了一下,完成度90%(那些我不感兴趣的函数就没逆了)

这个Driver没有设备对象,是通过ZwTerminateProcess来跟ring3程序进行通讯的。。。Driver的其他很多地方实现得比较精妙,值得我们学习

其中有两个重要的数据结构

typedef struct _XPROCESS_LIST
{
  LIST_ENTRY     Entry;
  ULONG       ProcessId;
  ULONG       ParentProcessId;
  PEPROCESS     Process;
  PEPROCESS     ParentProcess;
  BOOLEAN       IsProt;               //是否正受保护/隐藏
  BOOLEAN       unknow4;
  BOOLEAN       UseOrgKernelCallbackTable;
} XPROCESS_LIST, *PXPROCESS_LIST;

typedef struct _PARAMS
{
  ULONG       SelfSettings;         //by xIkUg/RCT 2007-04-29
  ULONG       GlobalSettings;
  ULONG       CallIndex;
  PVOID       InputBuffer;
  ULONG       InputBufferLength;
  PVOID       OutputBuffer;
  ULONG       OutputBufferLength;
} PARAMS, *PPARAMS;


源代码就不放出来了。。。

感兴趣的朋友可以直接看idb文件。。。各种变量,结构,函数都详细的标出来了
想要使用其中某些功能就得靠你自己的本事来还原源代码了。。。嘿嘿。。。

安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (26)
雪    币: 7400
活跃值: 活跃值 (162)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wzmooo 活跃值 2007-4-29 21:33
2
0
西裤哥强啊   !!
雪    币: 1853
活跃值: 活跃值 (3832)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2007-4-29 21:56
3
0
xIkUg你太强了
雪    币: 200
活跃值: 活跃值 (20)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
Lvg 活跃值 5 2007-4-29 22:15
4
0
向西裤哥,学习
雪    币: 219
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
冷血书生 活跃值 28 2007-4-29 23:04
5
0
向西裤哥,学习
雪    币: 209
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
WiNrOOt 活跃值 5 2007-4-29 23:04
6
0
...顶...
雪    币: 225
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yalcm 活跃值 2007-4-29 23:32
7
0
学学大牛们是怎么IDA的,致礼
雪    币: 22608
活跃值: 活跃值 (1635)
能力值: ( LV15,RANK:3225 )
在线值:
发帖
回帖
粉丝
风间仁 活跃值 19 2007-4-30 00:28
8
0
太强了。。都不知道怎么学习啊
雪    币: 107
活跃值: 活跃值 (13)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
qiweixue 活跃值 19 2007-4-30 08:15
9
0
牛阿...

雪    币: 195
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
aki 活跃值 2 2007-4-30 08:30
10
0
向xiku学习。另外请教个问题:怎样设置才能让ida的汇编旁边也显示二进制?
雪    币: 200
活跃值: 活跃值 (20)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
Lvg 活跃值 5 2007-4-30 08:50
11
0
option——〉disassebly——〉Numbler of opcode bytes
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
linestyle 活跃值 2007-4-30 09:18
12
0
顶啊
xiku大侠不带我玩qq键盘保护,原来自己在逆向HideToolz
:)
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
xIkUg 活跃值 9 2007-4-30 09:26
13
0
yykingking已经玩儿出来了。。。
http://www.debugman.com/read.php?tid=450
雪    币: 217
活跃值: 活跃值 (28)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
softworm 活跃值 30 2007-4-30 09:30
14
0
向西裤哥致敬!
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
linestyle 活跃值 2007-4-30 09:59
15
0
yykingking牛人啊,佩服
当初给西裤哥你发邮件,是想跟你学点东西,后来发现你太忙了,根本照顾不到我啊
所以后来我也就放弃逆向qq的那个东西了,呵呵
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
linestyle 活跃值 2007-4-30 10:07
16
0
其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组
感觉如果命名为AT键盘扫描码的名称就更完美了,我记得以前看linux键盘部分的时候好像看到过类似的处理码表 :)

还是西裤哥身边有牛人啊,看来以后我要经常去debugman去检东西啊
雪    币: 9
活跃值: 活跃值 (96)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
daxia200N 活跃值 6 2007-4-30 12:20
17
0
niuX...
雪    币: 211
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
NaX 活跃值 2007-4-30 13:39
18
0
久仰xIkUg大名
但请问用什么工具查看idb文件?
雪    币: 200
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
shoooo 活跃值 16 2007-4-30 14:40
19
0
楼主人不在江湖,江湖却你有的传说
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sisterccc 活跃值 2007-5-10 11:39
20
0
Down回来学习!这个要顶。。
雪    币: 2098
活跃值: 活跃值 (18)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
riijj 活跃值 7 2007-5-10 12:05
21
0
学习
雪    币: 114
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
garasmc 活跃值 2007-5-10 21:52
22
0
牛人!反汇编左边的OPCODE是怎么显示的?
雪    币: 114
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
garasmc 活跃值 2007-5-10 21:54
23
0
顶!反汇编左边的十六进制是怎么显示出来的??????????
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sucsor 活跃值 2007-5-10 22:46
24
0
貌似多天没有冲浪了.
....
顶一下
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
xIkUg 活跃值 9 2007-5-11 16:24
25
0
Option->General->Disassembly->Number of opcode bytes
游客
登录 | 注册 方可回帖
返回