Реверсинг драйвера SYS - как найти IRP обработчик

Сейчас на форуме: rmn, exp50848 (+7 невидимых)

Посл.ответ	Сообщение
DrKuropatkin Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 24 декабря 2012 12:44 · Личное сообщение · #1 Файл в аттаче,называется SIEMENS KeyDriver .В IDA Pro 5 находится функция IoCreateDevice и IoCreateSymbolicLinkName. Как найти то место,где происходит обработка данных при вызове его из usermode командой DeviceIoControl? 3dd2_24.12.2012_EXELAB.rU.tgz - keydriver.sys

BfoX Ранг: 397.0 (мудрец), 179thx Активность: 0.17↘0.1 Статус: Участник	Создано: 24 декабря 2012 12:51 · Поправил: BfoX · Личное сообщение · #2 Code: INIT:00020671 mov esi, [esp+4+DriverObject] ..... INIT:000206EB mov eax, offset sub_1163A INIT:000206F0 mov [esi+74h], eax INIT:000206F3 mov [esi+70h], eax INIT:000206F6 mov [esi+40h], eax INIT:000206F9 mov [esi+38h], eax INIT:000206FC mov dword ptr [esi+34h], offset loc_15ADE INIT:00020703 call sub_20000 ----- ...или ты работаешь хорошо, или ты работаешь много... \| Сообщение посчитали полезным: ECROFONIVS_REBMEM
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 24 декабря 2012 13:20 · Личное сообщение · #3 предлагаю команде свиновода не помогать. на старфорс мне наплевать
ECROFONIVS_REBMEM Ранг: 1.3 (гость) Активность: 0=0 Статус: Участник	Создано: 24 декабря 2012 13:43 · Личное сообщение · #4 У меня тоже вопрос по поводу драйвера: допустим я знаю ассемблерный код,выполняемый на точке входа при его вызове. Как можно сделать эмулятор,в перехватчике DeviceIoControl просто добавить вызов этого кода с сохранением регистров? Может есть какая статья на эту тему
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 24 декабря 2012 13:46 · Личное сообщение · #5 Унылый трепач ты, старфорса это драйвер. Ты уж подписывайся сразу, что ты свинарь. Я сразу тогда забаню, чтоб не терпеть несколько очередных глупых вопросов от тебя.

Для печати