-
-
[分享]我来说一下那个过签名LIB的原理(2014-05-09补充)
-
发表于:
2014-5-7 22:55
17314
-
[分享]我来说一下那个过签名LIB的原理(2014-05-09补充)
LIB的RING3部分代码,主要用于查找ci!g_CiOptions的地址,RING0部分代码呢,就是一个驱动,修改指定地址一个字节而已。
控制代码是0x800还是0x801、0x802就忘记了,反正差不多,感兴趣的朋友用IDA看一下就行。
至于驱动的签名,半年前就吊销了,所以我才放出来给大家玩。所以被RK作者利用一说,纯属无稽之谈,除非杀毒软件连签名性质都不会检查。
至于这个LIB是否原创呢?老实说,我是在一个朋友的指导下做的,而算不算他原创,我就不清楚了。
大概就说这么多了,本人胆小害怕吵架,所以基本不会在看雪发帖回帖。如果关于教程还有什么疑问请加群204267013,或者去
ca7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1j5i4y4E0i4K6u0W2j5$3!0E0i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1#2i4K6S2r3i4K6V1I4i4@1f1#2i4@1t1^5i4K6V1$3i4@1f1^5i4@1q4r3i4@1p5J5i4@1f1&6i4K6V1%4i4@1q4q4i4@1f1K6i4K6R3H3i4K6R3J5
各位,晚安。
2014-05-09补充:
上面的原理说得不太清楚,给出伪代码:
void DSE_OFF()
{
输出签名驱动文件();
加载签名驱动文件();
获取ci!g_CiOptions的地址p();
获取p的原始值();
设置p的值为0();
}
void DSE_ON()
{
恢复p的原始值();
卸载签名驱动();
删除驱动文件();
}
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
