发表于: 2009-07-29 18:09 | 显示全部 短消息 资料
字号: 1楼

绕过主防加载驱动的新思路!!!

通过dmload.sys可以实现一种新型的驱动加载方式。
  在dmload的二次驱动重初始化时会调用dmload!DmLoadIsEncapPending来判断\Registry\Machine\System\CurrentControlSet\Services\dmload\EncapsulationPending子键是否存在,如果不存在则调用dmload!DmLoadIsDmioNeeded判断系统是否需要加载dmboot驱动(向disk驱动发送IOCTL_DISK_GET_DRIVE_LAYOUT_EX查询)。而如果存在EncapsulationPending键则直接跳过检测步骤,直接调用ZwLoadDriver加载dmboot驱动。
    因此,我们只要事先伪造一个EncapsulationPending子键,并用我们欲加载的驱动替换掉dmboot.sys(不替换亦可),重启后便可成功加载驱动。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)