微点交流论坛

标题: 【Azy】寄宿加载：另一种可能? Shit EQ魔法盾 ring3_test.exe_VS_HIPS [打印本页]

作者: 点饭的百度空间 时间: 2009-5-8 09:34 标题: 【Azy】寄宿加载：另一种可能? Shit EQ魔法盾 ring3_test.exe_VS_HIPS

寄宿加载：另一种可能?
2009-04-23

最近逆向的一点思路和总结，旨在分享。

核心思想：借助m$第一方驱动来加载驱动（通常是ZwLoadDriver），绕过一些HIPS/主防之类。谓之“寄宿”加载法（本人独创？）

方法1：dmload法。之前讲过（http://hi.baidu.com/azy0922/blog ... 0941ac4723e875.html），通过创建一个特殊的dmload子键，替换掉dmboot实现重启加载。不过此法又要替换又要重启的，利用价值不大，不过是一个良好思路的开始。

方法2：gpc法。类上，不过只需替换文件，缺点是也要重启加载

方法3：termdd法。通过给termdd设备发送一个特定的ioctl code可实现动态驱动加载，不过该法限定加载进程要具有system权限。远程注射可能不是一个良好的方案（容易被报警），附件里提供了一种可行办法。

附件：http://www.brsbox.com/filebox/do ... 9d3d6069d34458ce6d6 XPSP2，运行a2s.exe，即刻加载dmboot（随便选了一个，只为测效果）。目前测了SSM,RTD没报，EQ报了

欢迎讨论

Shit EQSecure
ring3_test.exe_VS_HIPS
2009-05-07 19:15
下载链接：http://www.brsbox.com/filebox/do ... 9bfef4650a2d509c972

[ Last edited by 点饭的百度空间 on 2009-6-1 at 00:14 ]

作者: 狙击virus 时间: 2009-5-8 14:59
思路很不错不知道有类似的样本没有

作者: HomeSGerMine 时间: 2009-5-8 19:46
实践是检验真理的唯一标准...

作者: 点饭的百度空间 时间: 2009-6-1 00:11
检查

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn