本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 4271|回复: 12

关于SSDT Hook ZwLoadDriver取得进程信息的问题 [复制链接]

Rank: 1

发表于 2010-5-28 15:51:09 |显示全部楼层
如果用SCM的方式加载驱动,则获得的执行“加载驱动”这个操作的进程总是Services.exe。
只有直接使用ZwLoadDriver加载驱动才能获得真实的操作者。请问怎样解决这个问题?

Rank: 2

发表于 2010-5-28 16:14:07 |显示全部楼层
对跑过来的线程判断,
不知道行不行。。。

Rank: 1

发表于 2010-5-28 17:07:19 |显示全部楼层
从OpenSCManager开始呢?

Rank: 1

发表于 2010-5-28 17:34:59 |显示全部楼层
回复#1:
经测试,不行。

回复#2:
不想hook太多函数。

Rank: 1

发表于 2010-5-28 17:44:03 |显示全部楼层
  1. 这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的
  2. RPC通讯在各个平台上依赖的API各不相同,基本上
  3. win2000:NtFsControlFile
  4. xp,2003:NtRequestWaitReplyPort
  5. vista,2008.win7 :NtAlpcSendWaitReceivePort
  6. 你需要拦截这些通讯并分析其通讯协议
  7. 拦截loaddriver的话,找不到加载驱动的进程 呵呵,这是个很严重的缺陷,也是大家为什么要拦通讯的原因
复制代码

BY MJ0011

在Google Baidu上搜技术问题应该加上关键词"MJ0011", "qihoocom"

Rank: 2

发表于 2010-5-28 18:00:51 |显示全部楼层
引用第4楼KiSSinGGer于2010-05-28 14:44发表的  :
[code]
这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的
RPC通讯在各个平台上依赖的API各不相同,基本上
win2000:NtFsControlFile
xp,2003:NtRequestWaitReplyPort
.......
mark 下你这个变态非主流

Rank: 5Rank: 5

发表于 2010-5-28 18:03:10 |显示全部楼层
拦截RPC通讯即可。

Rank: 1

发表于 2010-5-28 18:30:45 |显示全部楼层
谢谢MJ

Rank: 1

发表于 2010-5-28 18:31:27 |显示全部楼层
谢谢KSG

Rank: 2

发表于 2010-5-28 18:56:12 |显示全部楼层
引用第7楼lga775于2010-05-28 15:30发表的  :
谢谢MJ
可有协议格式学习????

Rank: 1

发表于 2010-5-28 18:59:16 |显示全部楼层
非主流说的搜索技巧有理

Rank: 2

发表于 2010-5-29 01:01:19 |显示全部楼层
学习了,有空测试下.

Rank: 1

发表于 2010-5-29 02:25:58 |显示全部楼层
不知道有没有简单点的方法?
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-6-17 12:26 , Processed in 0.026193 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部