断点社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 2850|回复: 18

利用因特尔的驱动,加载运行未签名驱动

[复制链接]

0

精华

1

主题

0

听众

版主

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-6-5 00:19:44 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
最近unknowCheats论坛时常爆出某大厂驱动开的后门,其后门基本就是给r3层提供申请内核内存,读写物理内存等能力。
写驱动毕竟是个很麻烦的事,上手门槛高,调试困难,开个后门到r3层,在r3层实现业务逻辑可以降低开发难度,提高程序员的开发效率。
其结果嘛,就是被黑阔大佬发现,然后用来做一些不可描述的事。
下面贴上一个利用Intel LAN驱动后门,将自己的无签名驱动程序映射到内核并运行的程序。
原贴在此:https://www.unknowncheats.me/for ... e-driver-intel.html
这个被利用的驱动(iqvw64e.sys)来自Intel LAN驱动的一部分, 它可以读、写用户内存或内核内存,映射物理内存,将虚拟内存地址转为物理内存地址等。
利用此驱动实现的驱动映射器的源码:https://github.com/z175/kdmapper
其源码内容包含驱动加载,PE文件解析,PE文件到内存的映射等基本操作。也是现在比较流行的加载无签名驱动的方案。
我应该会继续转载一些类似的案例,比如利用某驱动后门来实现模块注入。以及提供更多的带后门的驱动程序。

评分

参与人数 1金币 +1 收起 理由
int0x06 + 1 很给力!

查看全部评分

广海论坛改名断点社区啦,记住我们的新网址:bbs.int0x3.com

0

精华

1

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-5 01:06:59 | 显示全部楼层
用得好可以干好多事情啊
回复

使用道具 举报

0

精华

2

主题

0

听众

管理员

Rank: 9Rank: 9Rank: 9

积分
0
发表于 2019-6-5 06:57:50 | 显示全部楼层
好东西,感谢分享
回复

使用道具 举报

0

精华

1

主题

0

听众

版主

Rank: 7Rank: 7Rank: 7

积分
0
 楼主| 发表于 2019-6-5 10:16:42 | 显示全部楼层
这还只是我随手搬运的一个,后面还有很多 很多 很多
广海论坛改名断点社区啦,记住我们的新网址:bbs.int0x3.com
回复

使用道具 举报

0

精华

1

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-5 12:04:59 | 显示全部楼层
牛逼了  可以干很多不可描述的东西
回复

使用道具 举报

0

精华

0

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-5 15:36:00 | 显示全部楼层
感谢楼主的分享
回复

使用道具 举报

0

精华

0

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-5 18:07:50 | 显示全部楼层

感谢楼主的分享
回复

使用道具 举报

0

精华

0

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-11 08:58:22 | 显示全部楼层
感谢楼主的分享
回复

使用道具 举报

0

精华

1

主题

0

听众

零级会员

Rank: 1

积分
0
发表于 2019-6-23 15:24:44 | 显示全部楼层
感谢楼主的分享
回复

使用道具 举报

0

精华

130

主题

0

听众

零级会员

Rank: 1

积分
1
发表于 2019-6-30 10:03:11 | 显示全部楼层
厉害厉害厉害厉害
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|断点社区 ( 粤ICP备16108587号 )

GMT+8, 2020-11-28 12:42 , Processed in 0.111785 second(s), 26 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表