20180625

使用通达信测试软件和测试外挂来测试驱动功能

问题：

模块检测

• 外挂运行后检测到测试软件有dll载入，载入dll均为系统dll，暂时排除注入恶意dll的可能

  • 外挂运行后检测到测试软件有新进程创建，但驱动监控显示创建者为测试软件本身（并非外挂进程）

    猜想外挂未使用CreateRemoteThread来实现代码注入，需要继续研究其注入方法

权限检测

• 外挂运行后驱动检测到其打开测试软件句柄，并请求一下句柄访问权限

  process_vm_operation, process_vm_write, process_vm_read

  猜想外挂使用VirtualAllocEx或者ReadMemory, WriteMemory来实现任意代码注入

• 当外挂请求以上权限时，驱动设置的回调函数直接拒绝，因此导致外挂代码注入失败，无法正常执行