Инфект sys

Пишу вирус, заражающий драйвера.
Вопрос: Как наиболее просто с ринг0 открыть файл и записать туда данные..?

 

Так, вроде бы.
InitializeObjectAttributes->ZwCreateFile->ZwWriteFile->ZwClose.
Пример - у Four-F в KmdKit.
Удачи!

 

nitrotoluol
даа. долго ты его писать будешь))) видать подводные камни тебе ещё неведомы

 

ksu_ant
имхо, более удобно юзать проекции файлов

nitrotoluol
не забывай чексумму пересчитывать, ато хрен грузиться будет))

 

Код (Text):

1. NTSTATUS          status;
2. UNICODE_STRING    fullFileName;
3. HANDLE            fileHandle;
4. IO_STATUS_BLOCK   iostatus;
5. OBJECT_ATTRIBUTES oa;
6.  
7.  
8. RtlInitUnicodeString( &fullFileName,
9.                       L"\\??\\C:\\Example\\testfile.txt");
10.  
11. InitializeObjectAttributes( &oa,
12.                             &fullFileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
13.                             NULL,
14.                             NULL );
15.  
16. status = ZwCreateFile ( &fileHandle,
17.                         GENERIC_WRITE | SYNCHRONIZE,
18.                         &oa,
19.                         &iostatus,
20.                         0,  // alloc size = none
21.                         FILE_ATTRIBUTE_NORMAL,
22.                         FILE_SHARE_WRITE,
23.                         FILE_OPEN_IF,
24.                         FILE_SYNCHRONOUS_IO_NONALERT,
25.                         NULL,
26.                         0);
27. // Здесь:
28. // GENERIC_WRITE равно STANDARD(0x40000000L)
29. //
30. // FILE_GENERIC_WRITE равно STANDARD_RIGHTS_WRITE|FILE_WRITE_DATA |
31. //    FILE_WRITE_ATTRIBUTES | FILE_WRITE_EA | FILE_APPEND_DATA |
32. //    SYNCHRONIZE, что можно увидеть в заголовочном файле winnt.h
33.  
34. if( NT_SUCCESS(status))
35. {
36.     // Строка для записи в файл
37.     char myString[100]="string : test write!\r\n";
38.     // Структура, которая поможет определить длину файла:
39.     FILE_STANDARD_INFORMATION fileInfo;
40.  
41.     status =        // Получаем информацию о файле
42.         ZwQueryInformationFile( fileHandle,
43.                                &iostatus,
44.                                &fileInfo,
45.                                sizeof(FILE_STANDARD_INFORMATION),
46.                                FileStandardInformation
47.                                );
48.     ULONG len = strlen(myString);
49.     if( NT_SUCCESS(status) )
50.     {
51.         LARGE_INTEGER ByteOffset = fileInfo.EndOfFile;
52.         status = ZwWriteFile(fileHandle,
53.                             NULL,
54.                             NULL,
55.                             NULL,
56.                             &iostatus,
57.                             myString, len,   // Записываемая строка
58.                             &ByteOffset,     // a если NULL? см. ниже
59.                             NULL);
60.         if( !NT_SUCCESS(status) || iostatus.Information != len )
61.         {
62.             DbgPrint("Error on writing. Status = %x.", status);
63.         }
64.     }
65.     ZwClose(fileHandle);
66. break;
67.  
68. }

 

k3internal
Скажем так, ты либо твечай по делу, либо нет. Потому как ответ "знаю, но не скажу" все-таки информационной нагрузки не несет ))))

apple
Сенкс

Cr4sh
Само-сабой разумеется... все пересчитываем... ) Все грузится пока... )


------------------------------------------
Еще вопрос. Имеет ли смысл ставить морфер или сис-файлы пока не сильно эмулируются?? Достаточно простого ксора?

 

ыыы ))

ядреного эмуля вроде не у кого нету )) Но одна две АПИ в декрипторе абезопасит )

 

nitrotoluol
вы пишите, пишите батенька)

 

На кой х. заражать дрова? А как быть с такой фигней как "цифровая подпись"? Не, реально хотелось бы посмотреть на конечный результат, как бы бсодогенератор очередной не вышел.

 

а что такое уже пишут? DD

 

китайские антируткиты новой волны ))

 

EP_X0FF
=))))))))))))))))))))))))