[原创]俺来看个KernelExec.sys-->KernelExec.idb

sudami

大米米

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 243
精华: 6
积分: 5537
阅读权限: 150
性别: 男
在线时间: 1115 小时
注册时间: 2007-1-10
最后登录: 2008-7-24

发短消息
加为好友
当前离线

楼主大中小发表于 2008-2-6 16:26 只看该作者

[原创]俺来看个KernelExec.sys-->KernelExec.idb

文章作者：sudami [xiao_rui_119@163.com]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

嘿嘿,IDA初学

,俺在CodeProject上下了份从内核启动一个R3程序的例子.想学下逆向,于是直接拿IDA看了下这个sys:KernelExec.sys,注释了一下,终于明白了这个驱动的作用啦:

从内核启动一个R3程序.大致是遍历EPROCESS找到explorer.exe, 在其中找到一个alertable的线程,插个用户APC. 这个用户APC就是简单调用WinExec去执行一个指定的程序, 期间要在内核中attach到explorer.exe进程中,为My_Func分配一个MDL,然后映射到explorer.exe的虚拟进程空间中.返回时APC就可以执行啦.

不过这个sys好像有点儿毛病, 它简单的设置ApcState.UserApcPending = TRUE, 好像不调用KeForceResumeThread的话APC不会执行,俺电脑上一直就没有出效果o(*.*)O

哈哈,原来逆向蛮好玩儿的(俺还没还原成C代码,不算逆向

).

btw: 好像真正的在内核中启动一个R3程序,MS是要拦截掉_KiSystemService,在里面jmp到我们指定的代码处,一般是找kernel32.dll的空隙插, 找到CreateProcessA的地址,弄到kernel32.dll在内存中的空隙里, 然后再XXX就产生了一个R3程序.... 嘿嘿,学习学习

[ 本帖最后由 sudami 于 2008-2-6 19:22 编辑 ]

附件

KernelExec_idb.rar (27.45 KB): 2008-2-6 19:22, 下载次数: 81

WINDOWS内核疯狂爱好者

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]俺来看个KernelExec.sys-->KernelExec.idb