设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [科普]简单总结“内核重载”和BufferDriverLoader的联系 ...
1234下一页
返回列表 发新帖
查看: 50670|回复: 114

[科普]简单总结“内核重载”和BufferDriverLoader的联系与区别

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2017-6-29 21:53:17 | 显示全部楼层 |阅读模式
PS:本文不是什么新技术,纯粹是对一些老知识的总结。
标题里的BufferDriverLoader,就是“无需把【驱动文件】输出到磁盘,而是直接把【映像】映射到内存并执行”的意思。

共同点:
1、“内核重载”与BufferDriverLoader都是本质上都是通过“PE加载器”,把PE文件映射到内存里。都需要经过读取文件、展开对齐、修复导入表、重定位的过程。
2、都不支持SEH,如果发生异常,即使在try...catch里,也会导致直接蓝屏。

不同点:
游客,如果您要查看本帖隐藏内容请回复

还有大家最关心的一点,能否在WIN64系统上实现“内核重载”?
游客,如果您要查看本帖隐藏内容请回复
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

kz丶cn

4

主题

145

回帖

0

精华

金牌会员

积分
1189
发表于 2017-6-29 21:55:24 | 显示全部楼层
沙发?
回复

举报

zf0815zj

0

主题

11

回帖

0

精华

铜牌会员

积分
95
发表于 2017-6-29 21:56:05 | 显示全部楼层
支持下。。。
回复

举报

zjr230506

1

主题

56

回帖

1

精华

贵宾会员

积分
2075
发表于 2017-6-29 21:57:27 | 显示全部楼层
寂寞长夜学习学习
回复

举报

hzqst

2

主题

29

回帖

1

精华

金牌会员

积分
1244
发表于 2017-6-29 22:04:48 | 显示全部楼层
本帖最后由 hzqst 于 2017-6-29 22:11 编辑

每次都要回帖好麻烦啊

补充一下:
1、x64是可以实现memload SEH的,只不过要调用某个非导出函数把需要seh的代码块加入内核维护的一个链表,非常不可靠所以一般不会有人用于正规项目,只能自己玩玩,具体见https://github.com/DarthTon/Blackbone/blob/master/src/BlackBoneDrv/Loader.c:BBMapWorker
2、x64下有pg,重载内核可行但没任何实际意义,只能做着玩儿。
3、如果只是为了躲过函数头的hook,完全可以复制函数头N个字节然后jmp回去原始内核,一般也没人会去函数内部下钩子吧。

评分

参与人数 1水晶币 +10 收起 理由
Tesla.Angela + 10 重载内核绕的就是CALL HOOK和未导出函数的H.

查看全部评分

回复

举报

46785131

0

主题

34

回帖

0

精华

铜牌会员

积分
68
发表于 2017-6-29 22:11:16 | 显示全部楼层
最后的才是重点呀..呵呵!~~~
回复

举报

brucep555

0

主题

16

回帖

0

精华

铜牌会员

积分
58
发表于 2017-6-29 22:33:33 | 显示全部楼层
顶一顶.学习下哈
回复

举报

tangptr@126.com

78

主题

190

回帖

9

精华

贵宾会员

积分
15605
发表于 2017-6-30 00:06:38 | 显示全部楼层
路过
回复

举报

n36437517

0

主题

49

回帖

0

精华

铜牌会员

积分
137
发表于 2017-6-30 06:56:44 | 显示全部楼层
学习学习
回复

举报

wtxpwh

0

主题

10

回帖

0

精华

铜牌会员

积分
50
发表于 2017-6-30 09:14:18 | 显示全部楼层
围观
回复

举报

flac

3

主题

75

回帖

0

精华

银牌会员

积分
440
发表于 2017-6-30 09:26:46 | 显示全部楼层
谢谢分享
回复

举报

yimingqpa

1

主题

118

回帖

0

精华

金牌会员

积分
856
发表于 2017-6-30 10:07:51 | 显示全部楼层
看一看,学习一下.
回复

举报

惊雷

1

主题

29

回帖

0

精华

铜牌会员

积分
94
发表于 2017-6-30 13:12:51 | 显示全部楼层
撒娇啊回答说
回复

举报

3207145141

1

主题

80

回帖

1

精华

铂金会员

积分
1818
发表于 2017-6-30 14:52:54 | 显示全部楼层
学习大佬的总结.谢谢.
回复

举报

落笔飞花

9

主题

43

回帖

2

精华

铂金会员

积分
2525
发表于 2017-6-30 15:18:54 | 显示全部楼层
来顶帖了。。。。。。。。。。
回复

举报

CleanLove

0

主题

111

回帖

0

精华

银牌会员

积分
340
发表于 2017-6-30 18:48:31 | 显示全部楼层
make 支持下 谢谢~~~
回复

举报

yyss258147

0

主题

11

回帖

0

精华

铜牌会员

积分
52
发表于 2017-7-1 16:51:41 | 显示全部楼层
拜读下
回复

举报

软绵绵

0

主题

65

回帖

0

精华

金牌会员

积分
1011
发表于 2017-7-1 17:45:32 | 显示全部楼层
学习学习,感谢分享
回复

举报

linkerrors

0

主题

29

回帖

0

精华

铜牌会员

积分
87
发表于 2017-7-1 21:27:44 | 显示全部楼层
感谢ta分享!
回复

举报

hamman

0

主题

13

回帖

0

精华

初来乍到

积分
30
发表于 2017-7-2 16:49:17 | 显示全部楼层
看看涨姿势,谢谢!
回复

举报

岁月

0

主题

14

回帖

0

精华

铜牌会员

积分
298
发表于 2017-7-3 23:57:10 | 显示全部楼层
谢谢Ta大分享。
回复

举报

545821848

0

主题

6

回帖

0

精华

初来乍到

积分
30
发表于 2017-7-9 16:12:09 | 显示全部楼层

x64应该可以实现的哈。
回复

举报

黄枫叶

2

主题

62

回帖

0

精华

金牌会员

积分
831
发表于 2017-7-25 22:38:45 | 显示全部楼层
支持下。。。
回复

举报

sijin

0

主题

63

回帖

0

精华

铜牌会员

积分
169
发表于 2017-8-27 13:35:27 | 显示全部楼层
谢谢分享,学习下
回复

举报

zt8152070

0

主题

51

回帖

0

精华

铜牌会员

积分
90
发表于 2017-8-28 10:57:40 | 显示全部楼层
学习下
回复

举报

mq2752639

0

主题

8

回帖

0

精华

铜牌会员

积分
52
发表于 2017-10-6 11:20:07 | 显示全部楼层
很好、很强大,这个一定得支持!!!
回复

举报

aoskan888

3

主题

32

回帖

0

精华

铜牌会员

积分
80
发表于 2017-10-19 19:31:27 | 显示全部楼层
想学习下。比较感兴趣
回复

举报

YesBacker

0

主题

15

回帖

0

精华

初来乍到

积分
35
发表于 2017-11-8 20:25:19 | 显示全部楼层
看看大神的帖子
回复

举报

dogbitesme

0

主题

13

回帖

0

精华

铜牌会员

积分
35
发表于 2017-11-30 09:17:48 | 显示全部楼层
非常强大的技术
回复

举报

chaos4

0

主题

49

回帖

0

精华

铜牌会员

积分
61
发表于 2017-12-2 02:35:15 | 显示全部楼层
BUFFER加载貌似也能在ARK里看到吧?
回复

举报

qq569582281

1

主题

82

回帖

0

精华

铜牌会员

积分
156
发表于 2017-12-5 10:47:59 | 显示全部楼层
谢谢楼主
回复

举报

你坏

0

主题

4

回帖

0

精华

初来乍到

积分
20
发表于 2017-12-7 19:57:45 | 显示全部楼层
看看为什么64位系统不能重载内核
回复

举报

1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表