首页
论坛
专栏
课程

[原创]HideToolz's Driver逆向分析。。。

2007-4-29 20:49 17664

[原创]HideToolz's Driver逆向分析。。。

2007-4-29 20:49
17664
对这个软件的AntiHook比较感兴趣,想看看他是怎么实现的。。。于是逆了一下,完成度90%(那些我不感兴趣的函数就没逆了)

这个Driver没有设备对象,是通过ZwTerminateProcess来跟ring3程序进行通讯的。。。Driver的其他很多地方实现得比较精妙,值得我们学习

其中有两个重要的数据结构

typedef struct _XPROCESS_LIST
{
  LIST_ENTRY     Entry;
  ULONG       ProcessId;
  ULONG       ParentProcessId;
  PEPROCESS     Process;
  PEPROCESS     ParentProcess;
  BOOLEAN       IsProt;               //是否正受保护/隐藏
  BOOLEAN       unknow4;
  BOOLEAN       UseOrgKernelCallbackTable;
} XPROCESS_LIST, *PXPROCESS_LIST;

typedef struct _PARAMS
{
  ULONG       SelfSettings;         //by xIkUg/RCT 2007-04-29
  ULONG       GlobalSettings;
  ULONG       CallIndex;
  PVOID       InputBuffer;
  ULONG       InputBufferLength;
  PVOID       OutputBuffer;
  ULONG       OutputBufferLength;
} PARAMS, *PPARAMS;


源代码就不放出来了。。。

感兴趣的朋友可以直接看idb文件。。。各种变量,结构,函数都详细的标出来了
想要使用其中某些功能就得靠你自己的本事来还原源代码了。。。嘿嘿。。。

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

上传的附件:
最新回复 (26)
wzmooo 2007-4-29 21:33
2
0
西裤哥强啊   !!
kanxue 8 2007-4-29 21:56
3
0
xIkUg你太强了
Lvg 5 2007-4-29 22:15
4
0
向西裤哥,学习
冷血书生 28 2007-4-29 23:04
5
0
向西裤哥,学习
WiNrOOt 5 2007-4-29 23:04
6
0
...顶...
yalcm 2007-4-29 23:32
7
0
学学大牛们是怎么IDA的,致礼
风间仁 19 2007-4-30 00:28
8
0
太强了。。都不知道怎么学习啊
qiweixue 19 2007-4-30 08:15
9
0
牛阿...

aki 2 2007-4-30 08:30
10
0
向xiku学习。另外请教个问题:怎样设置才能让ida的汇编旁边也显示二进制?
Lvg 5 2007-4-30 08:50
11
0
option——〉disassebly——〉Numbler of opcode bytes
linestyle 2007-4-30 09:18
12
0
顶啊
xiku大侠不带我玩qq键盘保护,原来自己在逆向HideToolz
:)
xIkUg 9 2007-4-30 09:26
13
0
yykingking已经玩儿出来了。。。
http://www.debugman.com/read.php?tid=450
softworm 30 2007-4-30 09:30
14
0
向西裤哥致敬!
linestyle 2007-4-30 09:59
15
0
yykingking牛人啊,佩服
当初给西裤哥你发邮件,是想跟你学点东西,后来发现你太忙了,根本照顾不到我啊
所以后来我也就放弃逆向qq的那个东西了,呵呵
linestyle 2007-4-30 10:07
16
0
其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组
感觉如果命名为AT键盘扫描码的名称就更完美了,我记得以前看linux键盘部分的时候好像看到过类似的处理码表 :)

还是西裤哥身边有牛人啊,看来以后我要经常去debugman去检东西啊
daxia200N 6 2007-4-30 12:20
17
0
niuX...
NaX 2007-4-30 13:39
18
0
久仰xIkUg大名
但请问用什么工具查看idb文件?
shoooo 16 2007-4-30 14:40
19
0
楼主人不在江湖,江湖却你有的传说
sisterccc 2007-5-10 11:39
20
0
Down回来学习!这个要顶。。
riijj 7 2007-5-10 12:05
21
0
学习
garasmc 2007-5-10 21:52
22
0
牛人!反汇编左边的OPCODE是怎么显示的?
garasmc 2007-5-10 21:54
23
0
顶!反汇编左边的十六进制是怎么显示出来的??????????
sucsor 2007-5-10 22:46
24
0
貌似多天没有冲浪了.
....
顶一下
xIkUg 9 2007-5-11 16:24
25
0
Option->General->Disassembly->Number of opcode bytes
garasmc 2007-5-11 17:37
26
0
昨天已经用你的ida文件配置一项一项的对比,找出来了,还是谢谢你的回答,以前太不仔细了,挺明显的地方,就是没注意过
cafard 2007-5-24 18:37
27
0
顶,学习.在学习.
游客
登录 | 注册 方可回帖
返回