新人刚来论坛,对E了解不是很深,开源个驱动吧。采用shellcode执行注册回调,并且二次加密了关键代码的.text字段,注册的回调显示路径为空,逆向大佬们可以逆向一下看看,驱动文件没有加壳。
shellcode动态获取了所需要的NT函数地址,并重写了MmGetSystemRoutineAddress、memcpy等NT函数。
驱动功能很简单就3个,读/写指针,获取进程的PEB地址,理论上支持win7-11系统,但是win7我测试取PEB地址会蓝屏,win10和win11是正常的,懒得找原因了,shellcode编写过程极其复杂和繁琐。
模块源码部分截图:
通讯是用别人的,IO通讯貌似不太好用,驱动的源码就不上传了,驱动部分都是shellcode,如果你没有汇编、内核编程基础以及shellcode基础肯定看不懂的,驱动部分截图也看一下吧:
