NDIS Hook果然很方便
2010-9-10 Nie.Meining Coding
今天抽时间尝试了下NDIS Hook,搞了个demo,感觉确实比NDIS中间层驱动方便多了……
奇诺反病毒软件的几个漏洞
2010-9-4 Nie.Meining Debug
今天安装奇诺反病毒软件看了看,漏洞挺多的。
奇诺安装好后,会在安装目录下释放两个驱动:KillFile.sys和chenoepro.sys,一个是用来强行杀文件的(通过自己发IRP实现),一个是用来自我保护的(通过inline hook NtOpenProcess实现)。
先看看KillFile.sys驱动,该驱动的IRP_MJ_CREATE和IRP_MJ_CLOSE派遣例程如下:
push ebp
mov ebp, esp
mov eax, [ebp+Irp]
mov dword ptr [eax+18h], 0
PsRemoveLoadImageNotifyRoutine卡死
2010-9-2 Nie.Meining Debug
帮某同学调了个卡死问题,可能还有人也遇到过类似情况,干脆记录下来。
程序卡死在PsRemoveLoadImageNotifyRoutine处,但是问题实际上出在NotifyRoutine中,程序在NotifyRoutine中做了如下操作:
if (wcsstr(FullImageName->Buffer,L"NOTEPAD.EXE") != NULL) {
KillProcess(ProcessId); //用ZwTerminateProcess实现
}
如果发现是记事本的映像,则结束进程。但是要知道,该回调函数正是运行在记事本的进程空间中的,所以KillProcess是在结束自己!当然KillProcess就不会返回,导致回调函数也不会返回。而PsRemoveLoadImageNotifyRoutine函数会等待回调函数都结束,然后把内存free掉,所以导致卡死。
链接
分类
最新日志
最新评论
- Crytonibnib
找到让钱包变厚的最快方法。 https:... - rtolikolw
<a href=https://hydr... - Crytonibnib
现在,世界各地的任何人都可以获得额外的收... - rtolikolw
<a href=https://hydr... - rtolikolw
<a href=https://hydr... - vehutraopl
<a href=https://godn... - Crytonibnib
财务独立是这个机器人的保证。 https... - butroklij
<a href=https://godn... - spokjotoh
<a href=https://godn... - retujikpo
<a href=https://godn...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)