前段时间被cnnic骚扰了一下,不爽,逆了一点驱动代码,玩rootkit的牛就不用看了.

有些东西也没搞很清楚,不瞎解释了。嵌入的Dll是我自己的,只显示MessageBox
(cdnprot.sys里的还有些处理,如自己调DllMain)。

我是用OD来试的,可以用,但对ExeCryptor主程序不能停到TLS Callback了,而是
停在壳入口点,F9报检测到debugger,没时间去深究了;-)


case IOCTL_SET_DEBUGGEE_INFO:

  // 被调试进程Pid,Tid
  ObjPid      = (HANDLE)*(PULONG)InputBuffer;
  ObjMainTid  = (HANDLE)((PULONG)InputBuffer)[1];
  
  Cid.UniqueProcess = ObjPid;
  Cid.UniqueThread  = ObjMainTid;
  InjectWithApc(&Cid);
  
  ....

上传的附件 Apc.rar