韩秋生 发表于 2023-2-10 23:12

驱动小偷

本帖最后由 韩秋生 于 2023-2-10 23:22 编辑

驱动小偷

下面是提取一个读写驱动时的详细分析,偷驱动时,对照着看看,偷几次就会了


驱动名:\\.\VanBk7GQ


安装驱动

驱动句柄:2004
控制码:2236804
输入指针数据地址:18393072
输入指针数据长度:16
输入指针字节集:66E1EF04 00000000 1F3F4C04 00000000
输出指针数据地址:1635612
输出指针数据长度:4
输出指针字节集:2F23A406

驱动句柄:224
控制码:3735560   第二次加载 没有这个
输入指针数据地址:0
输入指针数据长度:0
输入指针字节集:
输出指针数据地址:185202248
输出指针数据长度:48
输出指针字节集:C6650C1C3EFCE677BA502E895BB84625BFC7ED974FF947C22EC90129C524D3FD90408575E5E1A4E13A8D428A4129C92C
---------------------
保护进程 进程ID 1724 = 6BC

驱动句柄:2004
控制码:2236692
输入指针数据地址:1635756
输入指针数据长度:4
输入指针字节集:BC060000
输出指针数据地址:0
输出指针数据长度:0
输出指针字节集:
--------------------------
取消保护进程

驱动句柄:2004
控制码:2236704
输入指针数据地址:1635748
输入指针数据长度:4
输入指针字节集:BC060000
输出指针数据地址:0
输出指针数据长度:0
输出指针字节集:
---------------------------
读整数 401000 长度4 90C3C033 -1866219469

控制码:2236576
输入指针数据地址:149301736
输入指针数据长度:24
输入指针字节集:94000000 00000000 00104000 00000000 04000000 00000000
输出指针数据地址:149303472
输出指针数据长度:4
输出指针字节集:33C0C390
通讯成功:1
-1866219469
--------------------------
写整数 401000123 7B

控制码:2236608
输入指针数据地址:18177352
输入指针数据长度:32
输入指针字节集:94000000 00000000 00104000 00000000 7031E608 00000000 04000000 00000000
输出指针数据地址:0
输出指针数据长度:0
输出指针字节集:
-------------------------------
读字节集

控制码:2236576
输入指针数据地址:149301736
输入指针数据长度:24
输入指针字节集:94000000 00000000 00104000 00000000 0A000000 00000000
输出指针数据地址:18393328
输出指针数据长度:10
输出指针字节集:7B000000558BECB80000
---------------------------------
写字节集

控制码:2236608
输入指针数据地址:18177400
输入指针数据长度:32
输入指针字节集:94000000 00000000 00104000 00000000 882EE608 00000000 05000000 00000000
输出指针数据地址:0
输出指针数据长度:0
输出指针字节集:
-----------------------------
申请内存
控制码:2236628
输入指针数据地址:18393872
输入指针数据长度:16
输入指针字节集:94000000 00000000 0A000000 00000000
输出指针数据地址:149304000
输出指针数据长度:8
输出指针字节集:0000A50200000000
通讯成功:1
44367872 2A50000

------------------------------
设置进程

控制码:2236548
输入指针数据地址:1635760
输入指针数据长度:4
输入指针字节集:BC060000
输出指针数据地址:0
输出指针数据长度:0
输出指针字节集:

取模块基址

控制码:2236756
输入指针数据地址:149303992
输入指针数据长度:80
输入指针字节集:5553455233322E646C6C000D0A00000018FAD213000000801A0065702D416C6976650000630000001DFAD21300000088682EE608020000003046E008000000001EFAD21300000080F20065722D416765
输出指针数据地址:1635732
输出指针数据长度:8
输出指针字节集:00004C77 00000000

0040040055 53 45 52 33 32 2E 64 6C 6C 00 0D 0A 00 00 00USER32.dll......
0040041018 FA D2 13 00 00 00 80 1A 00 65 70 2D 41 6C 69?...?.ep-Ali
0040042076 65 00 00 63 00 00 00 1D FA D2 13 00 00 00 88ve..c...?...?
0040043068 2E E6 08 02 00 00 00 30 46 E0 08 00 00 00 00h.?...0F?....
004004401E FA D2 13 00 00 00 80 F2 00 65 72 2D 41 67 65?...??er-Age

控制码:2236756
输入指针数据地址:148975512
输入指针数据长度:56
输入指针字节集:6C706B2E646C6C00ADECD0136E00008E0000700069002E00AFECD0136C0000886C706B2E646C6C00A1ECD0132E000088A8225F7201000000
输出指针数据地址:1635732
输出指针数据长度:8
输出指针字节集:0000E37500000000

004004656C 70 6B 2E 64 6C 6C 00 AD EC D0 13 6E 00 00 8Elpk.dll.??n..?
0040047500 00 70 00 69 00 2E 00 AF EC D0 13 6C 00 00 88..p.i...??l..?
004004856C 70 6B 2E 64 6C 6C 00 A1 EC D0 13 2E 00 00 88lpk.dll.§?...?
00400495A8 22 5F 72 01 00 00 00 00 00 00 00 00 00 00 00?_r...........

控制码:2236756
输入指针数据地址:148819952
输入指针数据长度:88
输入指针字节集:61707068656C702E646C6C000A000000C981E8136465008C08030800B09811010000000000000000CA81E813687900801A00DE08000000000000000000000000CF81E8136600008857004400690067006500730074000000
输出指针数据地址:1635732
输出指针数据长度:8
输出指针字节集:0000807400000000

004004B561 70 70 68 65 6C 70 2E 64 6C 6C 00 0A 00 00 00apphelp.dll.....
004004C5C9 81 E8 13 64 65 00 8C 08 03 08 00 B0 98 11 01蓙?de.?.皹
004004D500 00 00 00 00 00 00 00 CA 81 E8 13 68 79 00 80........蕘?hy.?
004004E51A 00 DE 08 00 00 00 00 00 00 00 00 00 00 00 00.?............
004004F5CF 81 E8 13 66 00 00 88 57 00 44 00 69 00 67 00蟻?f..圵.D.i.g.
0040050565 00 73 00 74 00 00 00 00 00 00 00 00 00 00 00e.s.t...........


zy2510 发表于 2023-2-10 23:50

第一第一我是大佬的小迷弟

lies 发表于 2023-2-10 23:56

谢谢分享!

鄙人不才 发表于 2023-2-11 01:02

还是一头雾水看不懂

JuStkK 发表于 2023-2-11 01:04

看看是怎么样的感谢分享

sjtkxy 发表于 2023-2-11 05:06

yangzijun889688 发表于 2023-2-11 13:07

实在是不太懂 老大能不能出个教程

houtai1331 发表于 2023-2-11 17:17

大佬牛逼!

sibaichi 发表于 2023-2-11 18:10

瞧瞧写法。感谢分享。学习了

禽大师 发表于 2023-2-11 21:15

偷?驱动里面在通讯的时候rsa数据加密验证,只要没有通过就蓝屏{:5_118:}。
页: [1] 2
查看完整版本: 驱动小偷