简单逆向某平台驱动

4442222977 · 2022-6-12 16:00:21

emmm 今天在玩某平台的时候，发现重启电脑后驱动会自动加载（并没有运行平台），我就发现这是一个很流氓的行为，因为你不知道他驱动在干些啥，于是决定简单逆向一下
用到的工具：IDA，PChunter，CE

首先定位驱动入口，将驱动dump出来，首先看一下入口
简单逆向某平台驱动 - 4442222977_UltraDebug

说实话IDA这个默认配色还是看得不太舒服，上CE看吧，后边的图除了反编译的图我都用ce
简单逆向某平台驱动 - 4442222977_UltraDebug

这个就舒服太多了，很明显可以看到入口被vm了

既然被vm了索性就不分析入口了

我们首先看看驱动干了啥吧用ark工具也就是pchunter来看

创建了三个系统回调用来收集信息分别是进程，线程，最后一个比较少见，跟图片有关，盲猜是截图或者是检测透视窗口的
简单逆向某平台驱动 - 4442222977_UltraDebug

创建了一个obj钩子一般都是用来保护游戏，防止被第三方读写
简单逆向某平台驱动 - 4442222977_UltraDebug

我就只分析一个进程的吧，要具体分析太杂太累，只是简单带过几笔

首先上IDA
简单逆向某平台驱动 - 4442222977_UltraDebug

这就是有关进程的回调，如果一句一句看，得累死

我们简单看看具体框架就行

我们很明显发现两条绿色的线，点进去F5看看
简单逆向某平台驱动 - 4442222977_UltraDebug

很明显可以看到

if ( !KeGetCurrentIrql() )
  {
    if ( a3 )
    {

就是这两个判断

在内核中，KeGetCurrentIrql()是返回当前的IRQL

然后进行取反操作，也就是KeGetCurrentIrql()返回值为0时才往下执行。

还有更多的精彩内容，作者设置为付费后可见

账号		自动登录	找回密码
密码			立即注册

[.Net逆向] 简单逆向某平台驱动

相关帖子