首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]关于以dll形式存在的内核模块加载方式
发表于: 2017-6-28 22:51 3275

[求助]关于以dll形式存在的内核模块加载方式

mknanren 活跃值
2017-6-28 22:51
3275

遇到一个exe程序,有通过DeviceIoControl跟驱动程序通信,但是在对CreateService和ZwLoadDriver下断点的时候并没有断下来,对改exe的行为监控也没有发现对后缀名为.sys文件的操作,但是发现了一个可疑的dll。 这个dll的入口居然是DriverEntry,这明显是驱动的入口函数。求大佬告知这种dll形式的驱动是如何加载的


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
hzqst
雪    币: 12876
活跃值: (9352)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2
首先内核里得有一个可以供他利用的loader驱动,才能实现你所谓的内存加载
2017-6-28 23:40
0
Thead
雪    币: 407
活跃值: (2069)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这种?????详见链接:667K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3L8r3g2A6j5X3&6A6P5W2)9#2k6Y4A6K6N6g2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4U0x3I4x3U0M7%4x3b7`.`.
TARGETNAME=cocpyinf
TARGETTYPE=DYNLINK
USE_MSVCRT=1

_NT_TARGET_VERSION=$(_NT_TARGET_VERSION_WIN2K)

SOURCES=cocpyinf.c  /
cocpyinf.rc

TARGETLIBS=  $(SDK_LIB_PATH)/setupapi.lib  /
$(SDK_LIB_PATH)/kernel32.lib  /
$(SDK_LIB_PATH)/advapi32.lib  /
$(SDK_LIB_PATH)/user32.lib

DLLBASE=0x2000000
2017-6-29 08:42
0
ghostway
雪    币: 581
活跃值: (215)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
4
样本发上来。。
2017-6-29 10:01
0
轩辕之风
雪    币: 2281
活跃值: (963)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
5
扩展名无关紧要,系统内核ntoskrnl扩展名还是exe呢?
2017-6-29 12:19
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回