Notebook
  • Study hard and make progress every day
  • Mouka
    • Windows Internal
      • Helper Functions(todo:)
      • Find Kernel Module Address
      • Patch Guard Oops
      • Hook SSDT(Shadow)
      • Restore SSDT(Shadow)
      • Misc
        • Volatile in C
    • AntiCheat
      • Inject Defense
      • Injection Method
    • DriverDevelopment
      • 20180625
      • 20180626-27
    • Python
      • Python Tricks
        • 内置 http 服务器
        • 函数作为变量
        • "is" vs "=="
        • 直接变量值交换
        • 计算代码执行时间
        • 函数参数分解
        • 打印Python字典
        • 命名元组代替class
        • get()方法访问字典
        • 字典排序
        • 一次检查多个标志
        • 合并两个字典
        • re.sub使用替换函数
    • Algorithms
      • Greedy
        • 使括号平衡的最小交换次数
        • 埃及分数
      • DynamicProgramming
        • 0-1 背包问题
      • LeetCode
        • Count Primes
  • Honey
    • Python笔记
      • lxml库
      • os库
      • json文件读写
      • Scrapy
        • Scrapy安装与开始项目
        • Scrapy-Xpath
Powered by GitBook
On this page
  • 使用通达信测试软件和测试外挂来测试驱动功能
  • 问题:
  1. Mouka
  2. DriverDevelopment

20180625

使用通达信测试软件和测试外挂来测试驱动功能

问题:

模块检测

  • 外挂运行后检测到测试软件有dll载入,载入dll均为系统dll,暂时排除注入恶意dll的可能

    • 外挂运行后检测到测试软件有新进程创建,但驱动监控显示创建者为测试软件本身(并非外挂进程)

      猜想外挂未使用CreateRemoteThread来实现代码注入,需要继续研究其注入方法

权限检测

  • 外挂运行后驱动检测到其打开测试软件句柄,并请求一下句柄访问权限

    process_vm_operation, process_vm_write, process_vm_read

    猜想外挂使用VirtualAllocEx或者ReadMemory, WriteMemory来实现任意代码注入

  • 当外挂请求以上权限时,驱动设置的回调函数直接拒绝,因此导致外挂代码注入失败,无法正常执行

PreviousDriverDevelopmentNext20180626-27

Last updated 6 years ago