精易论坛

标题: 简单说一个相对隐蔽的内核通讯 [打印本页]

作者: Superqaq 时间: 2022-8-27 17:56
标题: 简单说一个相对隐蔽的内核通讯
现在通讯方式很多，IO,zc表,HOOK等等
我要讲的也是IO通讯，不过是hook掉系统驱动的通讯，实现方法也很简单，
一、首先要拿到系统驱动的入口点，IoGetDeviceObjectPointer用这个函数就可以做到，然后根据DriverEntry入口点定位派遣函数地址，
详情自己看DRIVER_OBJECT结构，

二、拿到派遣函数地址后进行hook，替换成我们自己的派遣函数，记得有个分支要返回原函数，不然系统拿什么跟驱动通讯。

这只是个最简单的hook，当然漏洞百出，首先我们的驱动不能卸载，卸载了hook会奔溃，就会蓝屏，不能卸载就是个定时炸弹，
按我之前有关shellcode的帖子来说，我们在驱动加载后申请一块内存，然后向内存里面写入shellcode，然后再挂钩派遣函数，
卸载驱动，完美通讯，自己的驱动也正常卸载了。

简单教学一下，最后放个效果图吧，别想源码了，怕被倒卖，自己动手丰衣足食。
简单的派遣函数，取进程模块jz:

我hook的是beep.sys，用户层通讯：

随便取个64位进程jz：

作者: Superqaq 时间: 2022-8-27 17:59
大伙应该都会实现吧

作者: Superqaq 时间: 2022-8-27 18:00
还有其他另类的通讯也可以讨论一下

作者: Suky 时间: 2022-8-27 18:07

Superqaq 发表于 2022-8-27 17:59
大伙应该都会实现吧

我不会

作者: Superqaq 时间: 2022-8-27 18:09

飞鸟和蝉发表于 2022-8-27 18:07
我不会

哈哈，感兴趣就找资料学呗

作者: 无名d晓峰 时间: 2022-8-27 19:57

作者: sdif000 时间: 2022-8-27 21:30
{:3_41:}{:3_41:}{:3_41:}

作者: wanfeng666 时间: 2022-8-31 11:18
统一回复:Win7修改PID后可以不用还原，Win10进程退出之前需要还原否则蓝屏。

作者: Superqaq 时间: 2022-8-31 22:50

wanfeng666 发表于 2022-8-31 11:18
统一回复:Win7修改PID后可以不用还原，Win10进程退出之前需要还原否则蓝屏。

大哥你回错贴了吧

作者: wu666 时间: 2022-9-18 10:40

Superqaq 发表于 2022-8-27 17:59
大伙应该都会实现吧

不会就是这些的是比如一个驱动程序正在通信通过hook 用自己的通讯函数代替他吗

欢迎光临精易论坛 (https://125.confly.eu.org/)