Пакер для PE-модуля драйвера

Добрый день всем.
Кто что использует для упаковки своих драйверов (если можно, то с аргументами)? Какие упаковщики вообще нормально работают с native-PE'шниками драйверов?

 

Тебе нужно в раздел wasm.offline. Или просто воспользуйся поиском по форуму, и получи ответ на свой вопрос.

 

Сейчас разрабатываю криптер для драйверов, на мой взгляд PE формате ни чем не отличается, за исключением нескольких правил, разница между sys и exe помоему
уже была освещена на форуме. Стоит самому по-разбирать формат PE.

 

Coderess

не встречал, наверняка будет много тонкостей загрузки, которые нужно учесть в драйвере

 

Никакой существенной разницы нет. Для импортов (ядро и хал) есть MmGetSystemRoutineAddress, образ надо ложить в NonPagedPool (смотря по флагам секций естественно), для чексуммы MapFileAndCheckSum, вызыв OEP как DriverEntry.

 

разница только в том что с драверами проще

 

разбором PE-формата упаковщики не ограничиваются. А сейчас ловить глюки с упаковщиком не хочу, нужно отлаживать свои

ну и в каком сейчас он состоянии? будет ли там поддержка PE64?

 

> ну и в каком сейчас он состоянии? будет ли там поддержка PE64?
Он же сказал "разрабатываю", а не "пишу"

 

и не забыть проверить работоспособность SEH

 

Грузить в Pool вариант хороший и рабочий, но Pool'ы легко проверяются, об этом писали uninformed, поэтому сигнатуры лучше почистить сразу, это как минимум для криптора под свой дров, а для широкого применения этого делать нельзя с целью сохранения работоспособности, как следствие метод слегка палевый (спец. тулзами ессно, а не АВ). Не факт еще что удастся выделить Pool область, нужен обработчик исключения.
Другой вариант это писать вместо тела самого пакера указав виртуальный размер с запасом и установив правильные атрибуты, т.е. на место упакованных данных и загрузчика в секцию встанет распакованный образ.
Настройка импорта дело не простое, т.к. имя ядра это не kernel32.dll, а возможны 4 варианта, в зависимости от включенного PAE и режима мультипроцессорности, поэтому если в импорте ntoskrnl, то его нужно обрабатывать по особому.
Есть некоторые сложности с SEH причем зависит от конкретной реализации винды.

 

> и не забыть проверить работоспособность SEH
Можно пройти по релокам и изменить адрес обработчика.

 

Можно и без релоков еще с десяток _дебильных_ способов придумать

 

А по-моему, MmGetSystemRoutineAddress без разницы какое имя ядра=)

 

J0E, предлагай умный способ (мы же знаем что ты знаешь).

 

Вы, как посмотрю, и зарегистрировались специально дабы проверить навыки социнженерии? Впрочем, раз знаете, то и доказывать мне ничего не надо ) Меняйте адрес обработчика и не грузите себя релоками.

 

гениально

 

Жой, а как ты собираешься адрес менять если это не секрет?

 

Сначала разобраться откуда и как этот адрес берется, а потом должно стать понятно.

 

Гениальнобл!

 

Уже поняли, как? С определением можно поспорить, предпочитаю называть способ "простейший"