吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9699|回复: 10
收起左侧

[调试逆向] Q管相关驱动分析

[复制链接]
lichao890427 发表于 2017-1-9 10:35
本帖最后由 lichao890427 于 2019-12-11 09:30 编辑

由于已经从PC开发转到移动安全,因此放出我当时对Q管驱动的一些研究,2015年8月
本人目前做iOS安全领域。如果有合作或交流意愿,联系方式见git:https://github.com/lich4

TSDefenseBt.7z (664.75 KB, 下载次数: 29)

TsFltMgr_D.7z (322.09 KB, 下载次数: 11)

TSKsp.7z (781.42 KB, 下载次数: 13)

TSSysKit_D.7z (357.23 KB, 下载次数: 12)

TsDefenseBt分析 .rar (32.98 KB, 下载次数: 22)

TsFltMgr_D.7z (322.09 KB, 下载次数: 13)

TSFltMgr分析.rar (188.47 KB, 下载次数: 12)

TsKsp Log.rar (12.96 KB, 下载次数: 9)

TSKsp.7z (781.42 KB, 下载次数: 12)

TsKsp分析.rar (104.49 KB, 下载次数: 7)

TSSysKit_D.7z (357.23 KB, 下载次数: 8)

TSSysKit分析.rar (145.27 KB, 下载次数: 9)

WinDbg指令调试笔记.rar (94.44 KB, 下载次数: 9)


TsSysKit.sys分析
一、驱动入口DriverEntry  2
1.1 检测加载者是否为Ntos  2
1.2 执行删除任务 DoDeleteJob  3
二、驱动接口Interface  5
2.1 DeviceExtension接口  5
2.2 与WRK代码异同点  6
2.3 重置/保存注册表对象ObjectInitialzer例程  6
2.4 NtCreateKey  7
2.5 NtOpenKey  9
2.6 NtQueryValueKey  10
2.7 NtSetValueKeyEx  11
2.8 NtDeleteValueKey  12
2.9 NtDeleteKey  13
2.10 IopCreateFile  14
三、控制码  17
3.1 TSSysKit x86   IoControlCode对应表  17
0x221C00解锁文件  21
0x222004普通结束进程  21
0x22242C穿透创建服务加载驱动  22
3.2 TSSysKit x64   IoControlCode对应表  25
四、默认派遣例程  30
4.1 根据进程id结束进程  30
4.2 获取当前进程进程名  30
4.3 由进程ID获取进程设备名  31
4.4 设备名转DOS路径  32
4.5 得到EPROCESS对应ImageDosPath  33
4.6 随机化程序名机制  34
4.7 根据进程文件名获取进程信息  35
4.8 两种方式调用内核函数  35
4.9 获取对象类型  36
4.10 基础库功能——检测腾讯程序合法性  36
4.11 解锁文件  38
五、获取ObjectInitializer  44
5.1 获取注册表OBJECT_TYPE,匹配对象类型  44
5.2获取ParseProcedure  46
5.3 获取GetCellRoutine偏移,Hook GetCellRoutine  47
5.4 Hook和UnHook GetCellRoutine  48
5.5 创建系统线程获取 Cm*函数  49
5.6 匹配结构  54
5.8 获取DeviceObject对象类型  73

TsKsp分析
TsKsp.sys分析报告  1
一、  驱动入口DriverEntry  2
1.1  监控模型  2
1.2 派遣例程  2
1.3 监控函数  3
1.4重要回调的挂钩  10
1.5 一些用到的数据  10
1.6 OBJECT_TYPE_INITIALIZER 挂钩  11
1.7 PROCINFO结构  12
二、  控制信息  14
2.1 ACL访问控制列表  14
2.2 匹配树  14
2.3 全局开关DriverSwitch  15
2.4 自保开关影响的函数和功能  17
2.5 规则判断  18
2.6 黑白名单g_StorageList  19
2.7 上抛消息结构  24
2.8 其他  25       (对Q管签名的破解
三、  接口和控制码  27
3.1 导出接口  27
3.2 控制码  27
四、  基础库  33
4.1 由进程Id获取文件对象  33
4.2 由线程句柄获取进程对象  36
4.3 由线程对象获取进程Id  36
4.4 由Ntfs文件索引号获取文件对象  37
4.5 长度反汇编引擎  39

TsFltMgr分析
TsFltMgr.sys分析报告  1
一、  驱动入口DriverEntry  2
1.1 过滤模型  3
1.2 检查当前系统是否为默认挂钩系统  3
1.3 打开TsFltMgr日志记录  4
1.4 控制信息  4
1.5 全局表  4
1.6 Proxy*函数模型  19
二、  驱动接口Interface  22
2.1 DeviceExtension接口  22
2.2 SetEvaluateTime  22
2.3 SetDisablePrevFilter  23
2.4 SetPostFilter  23
2.5 ExecOriginFromPacket  23
2.6 AddPrevFilter  23
2.7 RemovePrevFilter  24
2.8 GetCurrentHookInfo  25
2.9 GetDProxyTable  26
三、  基础库  27
3.1 获取注册表键值  27
3.2 通过进程名获取进程ID  29
3.3 Rabbit加密算法  29
四、  InlineHook KiFastCallEntry  35
4.1 获取SSDT/SSSDT/Hook点  36
4.2 从KiSystemService获取KiFastCallEntry  39
4.3 获取SSSDT信息  39
4.4 初始化InlineHook KiFastCallEntry跳转表  41
4.5 获取系统服务号的2种方式  44
4.6 InlineHook过程  45
4.7 构造InlineHook跳转后的执行语句  48
4.8 强制单核互斥执行指定Procedure  51
4.9 进行SSDT hook  52
4.10 对重要回调(进程回调、线程回调、映像加载回调)的挂钩  55
4.11 Hook KeUserModeCallback  57
4.12 交换内存  58
4.13 获取函数Iat偏移  58
4.14 另一种方式获取ShadowSSDT信息  59


TsDefenseBt.sys分析
TsDefenseBt.sys分析报告  1
一、  入口点  2
Ntfs创建回调NtfsFsdCreateHooker:  2
RegisterShutdown:  2
ClearThread  2
ShutdownDispatch:  3
UnloadDispatch:  3
CreateDispatch:  3
CloseDispatch:  3
IoCtlDispatch:  3
删除360注册表项:  3
解除baidu驱动回调:  6
删除360快捷方式:  6
删除360服务项:  6
删除baidu注册表项:  7
NtCreateProcessNotifyHooker1:  8
NtSetValueKeyHooker:  9
ZwRequestWaitReplyPortHooker/ZwAlpcSendWaitReceivePortHooker  9
NtWriteVirtualMemoryHooker/NtCreateThreadHooker  9
FakeObReferenceObjectByHandle  9
CmCallback  10

免费评分

参与人数 3威望 +1 吾爱币 +12 热心值 +3 收起 理由
xiaozhou2017 + 1 + 1 已答复!
古河面包店 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

黑龍 发表于 2017-1-9 11:46
其实想给你加分的。。。
hlrlqy 发表于 2017-1-9 13:03
古河面包店 发表于 2017-2-13 21:30
华夏利剑 发表于 2017-3-20 09:13
后面那些删除360百度相关的是什么鬼啊
zaibuo 发表于 2017-3-20 10:51
Mark哈
头像被屏蔽
请叫我大众男神i 发表于 2017-4-23 19:12
提示: 作者被禁止或删除 内容自动屏蔽
522 发表于 2017-4-30 22:48 来自手机
可以的!666!
yjz1409276 发表于 2017-5-4 03:13
来晚了,打不开了
xiaozhou2017 发表于 2017-6-7 09:02
感谢楼主分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 19:42

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表