首页
论坛
课程
招聘
[原创]WINDOWS 7下NtSetSystemInformation加载驱动新方法
2009-4-9 14:08 7848

[原创]WINDOWS 7下NtSetSystemInformation加载驱动新方法

2009-4-9 14:08
7848
NtSetSystemInformation的0x68号命令 SystemProcessorMicrocodeUpdateInformation

此调用可以Load或Unload 处理器Microcode的更新驱动程序,当调用此命令时,会执行:

_ExpSetProcessorMicrocodeUpdateInformation->_ExpMicrocodeInformationLoad或_ExpMicrocodeInformationUnload

接着系统检查当前进程拥有LOAD DRIVER权限后,即会使用一个WorkItem来调用_ExpLoadMicrocodeImage

会加载SystemRoot\System32\mcupdate.dll(实际是个驱动)

接着会调用xHalLoadMicroCode(参数为驱动基址)完毕后调用xHalUnloadMicroCode,接着会卸载这个IMAGE

在我逆向的版本(NtBuildNumber = 7000)下xHalLoadMicroCode和xHalUnloadMicroCode

都仅有一行代码:

return STATUS_NOT_IMPLEMENTED;

所以至少7000下这个方法仅能加载驱动,不能执行代码

不过可能以后微软实现这两个函数,可以做一些猥琐的事~

第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞0
打赏
分享
最新回复 (13)
雪    币: 7504
活跃值: 活跃值 (215)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2009-4-9 14:14
2
0
都用Win7了啊~正式版出了没
雪    币: 459
活跃值: 活跃值 (44)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-4-9 14:15
3
0
win7 beta 内核已经稳定了,应该不会有较大修改
改了不少猥琐的地方
雪    币: 7504
活跃值: 活跃值 (215)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2009-4-9 14:49
4
0
感觉这个微码更新的利用被你暴得太早了~微码更新本身还可以干点ws的事吧,在Rootkits那本书中看到过
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lazygao 活跃值 2009-4-9 15:45
5
0
SystemProcessorMicrocodeUpdateInformation?貌似只是从本地更新?不是从官网更新? 先前听说WS 7是自动更新驱动的``
rootkit —>Rock—>Rockets```
雪    币: 459
活跃值: 活跃值 (44)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-4-9 15:51
6
0
爆早爆晚都是爆,没什么意思
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-9 15:53
7
0
xHalLoadMicroCode
{
    xxx_sign_verify(image);
    ....
}
召唤王小姐吧.
雪    币: 459
活跃值: 活跃值 (44)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-4-9 15:58
8
0
sign_verify就八仙过海各显神通了
雪    币: 141
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dsjHZAHfaf 活跃值 2009-4-9 16:00
9
0
Win7的那个计算器非常CooooooooL
雪    币: 12
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
Nooby 活跃值 5 2009-4-9 16:10
10
0
sign+decipher,除非能patch掉.谁说ms不玩猥琐.
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
colboy 活跃值 2009-4-9 17:20
11
0
[QUOTE=;]...[/QUOTE]
RTM再爆差不多..现在爆估计会被修复~~~~
雪    币: 459
活跃值: 活跃值 (44)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
qihoocom 活跃值 9 2009-4-9 17:22
12
0
经常当白帽,习惯了
雪    币: 216
活跃值: 活跃值 (116)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2009-4-9 19:46
13
0
敬佩白帽美女!
雪    币: 97
活跃值: 活跃值 (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xzchina 活跃值 1 2009-4-9 21:12
14
0
微软为什么不把mcupdate.dll明明白白的做成sys?
游客
登录 | 注册 方可回帖
返回