驱动中获取进程名的正确方法
2013-12-16 Nie.Meining Coding
这是个古老的话题,没有技术含量,只不过看到网上很多驱动代码在获取进程名时总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人。
这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱。
咱们可以做个实验,随便打开一个程序,比如记事本notepad.exe。然后看看ImageFileName:
[分析引擎开发笔记]读写监控
2013-12-14 Nie.Meining Life
只拦截NtWriteFile/NtReadFile对很多程序是无效的(例如记事本notepad.exe),因为这些程序采用了文件映射的方式,例如记事本同志:
[分析引擎开发笔记]漏洞攻击检测
2013-12-14 Nie.Meining Life
分析引擎的细粒度监控特性使其具备了控制流完整性校验的能力,对于代码注入、ROP、Heap Spray等常见攻击方法实现了检测,效果还不错。
[分析引擎开发笔记]样本上传功能
2013-12-14 Nie.Meining Life
对于Android系统,处理方法比较简单,上传样本直接用adb装进去即可。
对于Windows,采用光驱的方式以只读形式置入。
[分析引擎开发笔记]监控数据呈现
2013-12-14 Nie.Meining Life
由于分析引擎监控条目非常多,需要展现的数据有的是ASCII编码、有的是UNICODE编码,我也没有精力去一个个指定,因此在展示之前调用了一个xxx函数来识别编码格式。不过由于xxx函数是基于统计学的方法猜的,实践证明猜得也不是很准啊……后期得改进一下。
对于API的情况,可以先用xxxA、xxxW、NtXXX等特征初步划分一下,然后再xxx,就准确多了。
链接
分类
最新日志
最新评论
- Billyscado
Valuable write ups. ... - Lowellmiz
Nicely put, Many tha... - Billyscado
Really all kinds of ... - Lowellmiz
Beneficial knowledge... - Billyscado
Reliable forum posts... - Billyscado
Many thanks. A lot o... - Lowellmiz
Kudos! Wonderful inf... - Lowellmiz
Amazing many of awes... - Billyscado
Seriously tons of su... - Billyscado
You actually reveale...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)