驱动中获取进程名的正确方法

2013-12-16 Nie.Meining Coding

这是个古老的话题,没有技术含量,只不过看到很多驱动代码在取进程总喜欢去读偏移 EPROCESS.ImageFileName,感觉比较误导新人

这个方法其实很不科学,硬编码偏移带来的兼容性问题以及16字节截断的问题(Win7过后是15字节)就不用说了,关键是这个 EPROCESS.ImageFileName 其实并不靠谱

咱们可以做个实验,随便打开一个程序,比如记事本notepad.exe。然后看看ImageFileName:

procname1.png

阅读全文>>

评论(1) 浏览(30478)

[分析引擎开发笔记]读写监控

2013-12-14 Nie.Meining Life

只拦截NtWriteFile/NtReadFile对很多程序是无效的(例如记事本notepad.exe),因为这些程序采用了文件映射的方式,例如记事本同志:

20170331190144.png

评论(0) 浏览(476)

[分析引擎开发笔记]漏洞攻击检测

2013-12-14 Nie.Meining Life

分析引擎的细粒度监控特性使其具备了控制流完整性校验的能力,对于代码注入、ROP、Heap Spray等常见攻击方法实现了检测,效果还不错。

1111111.png3333333.png

评论(0) 浏览(374)

[分析引擎开发笔记]样本上传功能

2013-12-14 Nie.Meining Life

对于Android系统,处理方法比较简单,上传样本直接用adb装进去即可。

2.7版截图_上传样本_android22.png

对于Windows,采用光驱的方式以只读形式置入。

2.7版截图_上传样本2_winxp.png2.7版截图_上传样本4_winxp.png

评论(0) 浏览(468)

[分析引擎开发笔记]监控数据呈现

2013-12-14 Nie.Meining Life

由于分析引擎监控条目非常多,需要展现的数据有的是ASCII编码、有的是UNICODE编码,我也没有精力去一个个指定,因此在展示之前调用了一个xxx函数来识别编码格式。不过由于xxx函数是基于统计学的方法猜的,实践证明猜得也不是很准啊……后期得改进一下。

对于API的情况,可以先用xxxA、xxxW、NtXXX等特征初步划分一下,然后再xxx,就准确多了。

aaaaaaa.png

评论(0) 浏览(475)

Powered by emlog