驱动小偷

驱动小偷

下面是提取一个读写驱动时的详细分析，偷驱动时，对照着看看，偷几次就会了


驱动名：\\.\VanBk7GQ


安装驱动

驱动句柄：2004
控制码：2236804
输入指针数据地址：18393072
输入指针数据长度：16
输入指针字节集：66E1EF04 00000000 1F3F4C04 00000000
输出指针数据地址：1635612
输出指针数据长度：4
输出指针字节集：2F23A406

驱动句柄：224  
控制码：3735560     第二次加载 没有这个
输入指针数据地址：0
输入指针数据长度：0
输入指针字节集：
输出指针数据地址：185202248
输出指针数据长度：48
输出指针字节集：C6650C1C3EFCE677BA502E895BB84625BFC7ED974FF947C22EC90129C524D3FD90408575E5E1A4E13A8D428A4129C92C
---------------------
保护进程 进程ID 1724 = 6BC

驱动句柄：2004
控制码：2236692
输入指针数据地址：1635756
输入指针数据长度：4
输入指针字节集：BC060000
输出指针数据地址：0
输出指针数据长度：0
输出指针字节集：
--------------------------
取消保护进程

驱动句柄：2004
控制码：2236704
输入指针数据地址：1635748
输入指针数据长度：4
输入指针字节集：BC060000
输出指针数据地址：0
输出指针数据长度：0
输出指针字节集：
---------------------------
读整数 401000 长度4 90C3C033 -1866219469

控制码：2236576
输入指针数据地址：149301736
输入指针数据长度：24
输入指针字节集：94000000 00000000 00104000 00000000 04000000 00000000
输出指针数据地址：149303472
输出指针数据长度：4
输出指针字节集：33C0C390
通讯成功：1
-1866219469
--------------------------
写整数 401000  123 7B

控制码：2236608
输入指针数据地址：18177352
输入指针数据长度：32
输入指针字节集：94000000 00000000 00104000 00000000 7031E608 00000000 04000000 00000000
输出指针数据地址：0
输出指针数据长度：0
输出指针字节集：
-------------------------------
读字节集

控制码：2236576
输入指针数据地址：149301736
输入指针数据长度：24
输入指针字节集：94000000 00000000 00104000 00000000 0A000000 00000000
输出指针数据地址：18393328
输出指针数据长度：10
输出指针字节集：7B000000558BECB80000
---------------------------------
写字节集

控制码：2236608
输入指针数据地址：18177400
输入指针数据长度：32
输入指针字节集：94000000 00000000 00104000 00000000 882EE608 00000000 05000000 00000000
输出指针数据地址：0
输出指针数据长度：0
输出指针字节集：
-----------------------------
申请内存
控制码：2236628
输入指针数据地址：18393872
输入指针数据长度：16
输入指针字节集：94000000 00000000 0A000000 00000000
输出指针数据地址：149304000
输出指针数据长度：8
输出指针字节集：0000A50200000000
通讯成功：1
44367872 2A50000

------------------------------
设置进程

控制码：2236548
输入指针数据地址：1635760
输入指针数据长度：4
输入指针字节集：BC060000
输出指针数据地址：0
输出指针数据长度：0
输出指针字节集：

取模块基址

控制码：2236756
输入指针数据地址：149303992
输入指针数据长度：80
输入指针字节集：5553455233322E646C6C000D0A00000018FAD213000000801A0065702D416C6976650000630000001DFAD21300000088682EE608020000003046E008000000001EFAD21300000080F20065722D416765
输出指针数据地址：1635732
输出指针数据长度：8
输出指针字节集：00004C77 00000000

00400400  55 53 45 52 33 32 2E 64 6C 6C 00 0D 0A 00 00 00  USER32.dll......
00400410  18 FA D2 13 00 00 00 80 1A 00 65 70 2D 41 6C 69  ?...?.ep-Ali
00400420  76 65 00 00 63 00 00 00 1D FA D2 13 00 00 00 88  ve..c...?...?
00400430  68 2E E6 08 02 00 00 00 30 46 E0 08 00 00 00 00  h.?...0F?....
00400440  1E FA D2 13 00 00 00 80 F2 00 65 72 2D 41 67 65  ?...??er-Age

控制码：2236756
输入指针数据地址：148975512
输入指针数据长度：56
输入指针字节集：6C706B2E646C6C00ADECD0136E00008E0000700069002E00AFECD0136C0000886C706B2E646C6C00A1ECD0132E000088A8225F7201000000
输出指针数据地址：1635732
输出指针数据长度：8
输出指针字节集：0000E37500000000

00400465  6C 70 6B 2E 64 6C 6C 00 AD EC D0 13 6E 00 00 8E  lpk.dll.??n..?
00400475  00 00 70 00 69 00 2E 00 AF EC D0 13 6C 00 00 88  ..p.i...??l..?
00400485  6C 70 6B 2E 64 6C 6C 00 A1 EC D0 13 2E 00 00 88  lpk.dll.§?...?
00400495  A8 22 5F 72 01 00 00 00 00 00 00 00 00 00 00 00  ?_r
...........

控制码：2236756
输入指针数据地址：148819952
输入指针数据长度：88
输入指针字节集：61707068656C702E646C6C000A000000C981E8136465008C08030800B09811010000000000000000CA81E813687900801A00DE08000000000000000000000000CF81E8136600008857004400690067006500730074000000
输出指针数据地址：1635732
输出指针数据长度：8
输出指针字节集：0000807400000000

004004B5  61 70 70 68 65 6C 70 2E 64 6C 6C 00 0A 00 00 00  apphelp.dll.....
004004C5  C9 81 E8 13 64 65 00 8C 08 03 08 00 B0 98 11 01  蓙?de.?.皹

004004D5  00 00 00 00 00 00 00 00 CA 81 E8 13 68 79 00 80  ........蕘?hy.?
004004E5  1A 00 DE 08 00 00 00 00 00 00 00 00 00 00 00 00  .?............
004004F5  CF 81 E8 13 66 00 00 88 57 00 44 00 69 00 67 00  蟻?f..圵.D.i.g.
00400505  65 00 73 00 74 00 00 00 00 00 00 00 00 00 00 00  e.s.t...........

第一第一  我是大佬的小迷弟

谢谢分享！

还是一头雾水看不懂

看看是怎么样的  感谢分享

实在是不太懂 老大能不能出个教程

大佬牛逼！

瞧瞧写法。感谢分享。学习了

偷？驱动里面在通讯的时候rsa数据加密验证，只要没有通过就蓝屏。