易语言资源网 - 做最全的易语言资源下载社区
<易语言软件开发工程师>特训 第14期(预报名) 精易论坛授权登录

开源shellcode驱动内存读写,已加密.text字段   [复制链接]

    2022-08-15 08:53:01
    模块控件源码
    易语言资源网
    566 次浏览
    来源链接

新人刚来论坛,对E了解不是很深,开源个驱动吧。采用shellcode执行注册回调,并且二次加密了关键代码的.text字段,注册的回调显示路径为空,逆向大佬们可以逆向一下看看,驱动文件没有加壳。

shellcode动态获取了所需要的NT函数地址,并重写了MmGetSystemRoutineAddress、memcpy等NT函数。

驱动功能很简单就3个,读/写指针,获取进程的PEB地址,理论上支持win7-11系统,但是win7我测试取PEB地址会蓝屏,win10和win11是正常的,懒得找原因了,shellcode编写过程极其复杂和繁琐。

模块源码部分截图:

通讯是用别人的,IO通讯貌似不太好用,驱动的源码就不上传了,驱动部分都是shellcode,如果你没有汇编、内核编程基础以及shellcode基础肯定看不懂的,驱动部分截图也看一下吧:



点我下载 (已有 67 次下载)

引用模块





引用支持库


源码文件名 支持库文件名 支持库标识
shellcode_driver.e 系统核心支持库 5.7 d09f2340818511d396f6aaf844c7e325


[错误报告]   上一篇:截图工具源码     下一篇:获取系统信息