首页
论坛
课程
招聘
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝

[系统底层] [讨论]驱动的加载 - 如何绕过主动防卸

2008-11-9 20:11 16233

[系统底层] [讨论]驱动的加载 - 如何绕过主动防卸

2008-11-9 20:11
16233
NT式驱动程序, 平常的(也就是你能在正规书本上看到的)加载方法, 就是OpenSCManager、CreateService、OpenService、StartService;

偏门一点的,来自很古老的书《ROOTKITS - windows内核的安全防护》里说过一种方法,system load and call image,不过我随便试了一下没成功(要研究一下);

杀毒软件,终于认真对待驱动这样东西了;较新点的杀毒软件,主动防御系统都把加载驱动纳入了监视范围;

大家讨论一下如何绕过主动防御来加载驱动(替换文件的方法不算);

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最新回复 (47)
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-9 20:15
2
0
不告诉你.也不必讨论.
知道的人肯定不会把方法说出来,不知道的人只能意淫.

做点正规的东西多好,天天想着歪门邪道.

fuck
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
瀑泪 活跃值 2008-11-9 20:29
3
0
就你这素质,整天动不动就fuck来fuck去,fuck你妈啊?

有对弈,才有进步;照你这样说,凡是对杀毒软件不利的技术,一律都应该停止?那么那些工程师门整天上网玩游戏去了,整天不思进取;
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
瀑泪 活跃值 2008-11-9 20:36
4
0
sudami, 刚查了你发的贴, 发现你发的贴子全是什么内核注入DLL, 干掉杀毒软件,驱动感染, ....  你竟然还在这里厚颜无耻地说: 做点正规的东西多好,天天想着歪门邪道. , 你是不是精神错乱了?
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-9 20:38
5
0
我还是把 SB 2个字去掉吧, 不骂你了,没意思.

继续学习去咯~~
雪    币: 313
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
better 活跃值 2 2008-11-10 09:47
6
0
《ROOTKITS - windows内核的安全防护》有段例子代码就是非常规载入,我试过可以的,我忘了是哪个例子……
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lustylol 活跃值 2008-11-10 10:29
7
0
原来论坛里是可以骂人的啊
雪    币: 234
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
梦魇颖雨 活跃值 2008-11-10 12:55
8
0
sudami确实过分了...
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
草屋居士 活跃值 2008-11-10 13:50
9
0
system load and call image我前几天试过了。。。。按QIQI大大的说法是要自己开辟一个不分页内存空间把代码copy进去,然后代码重定向,可以成功的,不过相当不稳定,很容易蓝。。可能是咱自己的问题
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-10 14:28
10
0
大家来打击我吧.嘿嘿,我很贱,而且越是被打击,学习效率越高.
雪    币: 321
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
haras 活跃值 2008-11-10 15:14
11
0
sudami在我心里相当有地位,他的大部分帖我都看过
他的帖不太合初学者看的,因为他没有给出完整的代码
这对我们初学者是相当的打击,他的帖最合有一定水平的人看
而有一定水平的人呢又相互保留,谈不上互相学习,多数是自已研究
他有很多技术性的研究,sudami每学到新的技术时就会把快要过时的技术发一帖
让我们去模拜一下。

性格上我不喜欢他,技术上我也不喜他
但有一种我喜欢,就是我们是初学者,只有他会看我们发的帖,也会说上一二句
起码他会关注我们这些初学者,就这点我们得感谢他。

LZ要是想要另外的加载驱动源码,在看雪搜一下,会找到的,要是找不到你联系我

我会跟着学习sudami老的技术,他发的文章以前看不懂,现在能看懂些了。他没完整的代码
我尽量去补完。
雪    币: 504
活跃值: 活跃值 (19)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
笨笨雄 活跃值 14 2008-11-10 15:32
12
0
该不明白的,给源码也不明白。当然拿着做坏事倒是可以的
雪    币: 2648
活跃值: 活跃值 (123)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-10 15:39
13
0
beep,beep~~~
null,null~~~
pagefile.sys,pagefile.sys
ntXX.sys,ntXX.sys
win32k.sys win32k.sys~~
loadXX
patch routine XXX fuck
dod xxx
ring0 exploit
XXXXX
GDIPlusDrv~~~
NV显卡增强DLL~~
ATI外挂模块接口~~
XXXXXX~~~
方法太多~~
仅为提示,具体 10W USD奉上,马上告诉你~
雪    币: 7148
活跃值: 活跃值 (23)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2008-11-10 15:51
14
0
老V大放血啊~
雪    币: 420
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
mstwugui 活跃值 6 2008-11-10 16:28
15
0
大米的能力毋庸置疑,而且这确实也不是什么光明正大的话题。另外一点,不同产品的主动防御实现方法都有所不同,即便是忽悠过了现有的,出个专杀也不是什么不可能实现的任务。有时间浪费在写病毒上不如去干点合法的事情,不然也许有一天一不留神也把自己送进去了。
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-10 17:29
16
0
此帖因为某某原因,很火很强大~~~~~

VXK又开始意淫了啊~~~~~~~
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-10 17:40
17
0
有时候啊,我就在想:
      比起那些在网上抄资料,然后七拼八凑拿到<黑客防线>骗稿费的, 我们这些菜鸟在kanxue大家庭里发点原创技术文章,还是比较厚道的.
      无论是邪恶的啊,还是正规的啊,都是思路在这,点到即可,怕是被流氓们直接A走了,就祸害大了.. 但像此帖的问题,明显找骂呀,谁会告诉你过主防的思路 or 代码?人家是吃多了撑着了,还是装B没装够呢? 坏人自己留一手,做木马病毒就能 10万/月; 好人留一手,防止木马祸害大众, 告诉你干么?
   做坏事还明目张胆, 我靠,很挫很强大~~~~~
雪    币: 104
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
Aleaxander 活跃值 1 2008-11-10 17:49
18
0
这是我在看雪看过的火药味最浓的一贴~~!!!!
雪    币: 266
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
somuch 活跃值 1 2008-11-10 17:50
19
0
楼上的哪个是大米?
大米应该是dummy
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-10 17:53
20
0
LS的在讨论边缘问题....
雪    币: 266
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
somuch 活跃值 1 2008-11-10 17:54
21
0
LS的应该叫“数大米”
雪    币: 420
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
mstwugui 活跃值 6 2008-11-10 17:56
22
0
恩,就是说数大米,呵呵
雪    币: 461
活跃值: 活跃值 (73)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-10 18:00
23
0
14是14,40是40
"伞" 念 "san", "闪" 念 "shan"
.
.
.
"su" 念 "素', "shu" 念 ""
雪    币: 420
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
mstwugui 活跃值 6 2008-11-10 18:02
24
0
知道了,是素大米不是荤大米
雪    币: 214
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
compiler 活跃值 2008-11-10 18:08
25
0
惊讶!看雪论坛可是交流学习的地方啊
雪    币: 123
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
徐大力 活跃值 8 2008-11-10 18:21
26
0
刚学驱动 不参加讨论。。。
LZ说讨论   应该也放点代码什么的吧 什么都不放  没代码没思路 就两字讨论 想把别人的技术套走
太那啥了。。。。

我感觉  标题换成 请教XXXXX 姿态放低点 就吵不起来了

绕过注册表的 参考参考Loading drivers and Native applications from kernel mode, without touching registry 虽然有点老了  貌似对新手还是很有用的

PS:刚刚才知道  为啥 DeviceName 一定要"\\Device" 而不是"\Device"了
吗吗的 原来\\里前一个\  是转意符  问了好多人 都不说 叫我直接用就行了 靠 还是自己WINDBG看了一下才知道
雪    币: 64
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
doking 活跃值 2008-11-10 21:48
27
0
刚下自习就看到这么有趣的帖子!呵呵
雪    币: 104
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xyzreg 活跃值 1 2008-11-10 21:59
28
0
初学者可以看看我xcon 2007的演讲ppt
http://www.xyzreg.net/down/xcon2007_xyzreg.rar
雪    币: 519
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
hljleo 活跃值 5 2008-11-10 22:24
29
0
只是出来打酱油的
雪    币: 2648
活跃值: 活跃值 (123)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-10 22:59
30
0
目前很少捡到DOD xxx是的样本~~~

不过看到了某神圣的样本~

PS:
今天金山又杀了我的某sys~~
难以置信的居然他们能拿到样本~~
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
简单爱 活跃值 2008-11-11 00:43
31
0
强帖,坐观V大yy
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
简单爱 活跃值 2008-11-11 00:50
32
0
不喜欢大米对待此类问题的方法,还是欣赏V大的,先XX几个,最后一句10w usd才是亮点。想知道可以,拿钱来。既不会打击人,也不会吵架。挖空心思想“偷”技术的人只能光看着心痒,真心实意想要的自然会交钱。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ruberman 活跃值 2008-11-11 08:53
33
0
本贴比较搞笑。
俺也知道一个,不过现在主防已经拦了。

于是知道自己水平需要进步,恶补中。。。。
雪    币: 116
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
boainfall 活跃值 2008-11-11 09:11
34
0
要和谐,要友爱
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2008-11-11 10:56
35
0
俗话说狗急了跳墙
雪    币: 2648
活跃值: 活跃值 (123)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-11 15:16
36
0
研究HIPS绕过,自己研究比较好~
所有的HIPS的东西都是基于HOOK,hook上过滤总有疏忽,多尝试一下就会发现XX很强大~~

通过bypass Fuzz法,IDA分析~

最初我发现BEEP法时,写了个bypass Fuzz工具整整工作了10个小时,终于得到了beep法~~

严重反对不劳而获~~
雪    币: 504
活跃值: 活跃值 (19)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
笨笨雄 活跃值 14 2008-11-11 16:45
37
0
向10W USD学习
雪    币: 252
活跃值: 活跃值 (10)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
zjjmjtoot 活跃值 4 2008-11-11 16:50
38
0
cvcvxk以后就叫十万美元宝贝吧。
雪    币: 2648
活跃值: 活跃值 (123)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-11 17:32
39
0
10W USD是跟MJ学的~~
不过貌似我用的次数超过MJ了~
雪    币: 45
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
nkspark 活跃值 3 2008-11-11 17:54
40
0
我靠,写病毒能赚这么多? 没天理啊~~~~
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
foresee 活跃值 2 2008-11-11 17:57
41
0
不要说,不要说
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rdotzues 活跃值 2008-11-11 18:07
42
0
关键词,google,好人啊!!!
雪    币: 225
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cooray 活跃值 2008-11-11 20:38
43
0
其实直接bypass就好了
雪    币: 134
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
swlepus 活跃值 2008-11-11 21:59
44
0
写病毒月入10w,并且还不用扣税;
写杀毒月入2w(高级),税后只有不到1.6w。

难怪病毒技术总是走在前面了。

PS1:很多东西并不是绝对对错的,写病毒就错了么?未必吧。很多写杀毒的干的勾当同样见不得人呢。
PS2:网络上人人平等,要追求不平等,要让部分人先“强大”起来,病毒是重要武器。
PS3:。。。为什么还要PS。。。
雪    币: 45
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
nkspark 活跃值 3 2008-11-12 14:14
45
0
都有啥见不得人的勾当?说来听听,八卦八卦~~~
雪    币: 2648
活跃值: 活跃值 (123)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-12 14:34
46
0
10W月入,别傻了~~~

搞XX不如搞XX~
雪    币: 252
活跃值: 活跃值 (10)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
zjjmjtoot 活跃值 4 2008-11-13 09:07
47
0
你不知道,那些人白天写杀毒,晚上写病毒,月入11.6w。
雪    币: 175
活跃值: 活跃值 (22)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
poppig 活跃值 2 2008-11-13 09:51
48
0
月精帖??????
游客
登录 | 注册 方可回帖
返回