内核达人-口口相传的内核培训黄埔军校

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 674|回复: 0

让驱动无法卸载的简单方法

[复制链接]

5

主题

5

帖子

49

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
49
发表于 2019-8-2 00:04:05 | 显示全部楼层 |阅读模式
今天分析了一个反外挂驱动,无论怎么都无法卸载,3环客户端退出也不卸载驱动。刚开始以为使用了非常牛叉的隐蔽方法。
结果我想多了。
无法卸载的原理是:注册了一些进程线程内核回调,使用工具进行卸载时,驱动内存会被释放,当系统调用这些内核回调函数时,数据没有了,就蓝屏了。卸载方法只能是关机,这就达到了驱动始终驻留内核的目标。
驱动加载方法,一种LoadDriver ,SetSystemInformation,第二种非常规方式,无法卸载,只能通过重启计算机才能卸载。
另外设置驱动对象为NULL,也是无法卸载驱动的,只能通过重启(查看WRK的卸载驱动函数实现方式就可知道原因)。
WRK,ReactOS是个好东西。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|内核达人 ( 深圳市大头鱼科技有限公司版权所有 备案号:粤ICP备18115644-2 )

GMT+8, 2020-10-20 07:51 , Processed in 0.040710 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表