Windows应用层实现VmWare穿透读写,实现无签名驱动加载。
Windows应用层实现VmWare穿透读写,实现无签名驱动加载。
0x1 效果图(三环加载无签名驱动,目标机:windows10 1909)
0x2 代码注释图
0x3 注意事项
这个DEMO有很多未完成的地方,有可能以后会完成,有可能过了这个兴趣时间,懒得写了,有兴趣的哥们可以自行完善,上面的内存解析,我只完成了部分功能(已经可以完成我目前的需求),pagefile.sys/subsection/win10的压缩内存解析我暂时没写,这个解析不难,麻烦的是需要调用VmWare的磁盘API去读扇区然后解析NTFS,这个对于我来说,需要浪费很多时间,以后有空再写吧。
所以,我走了一个捷径:关闭win10的分页文件,重启!后续完成了上面的NTFS解析后再来测试这一块。
未完成的地方,我都写了断点。
还有这种应用层写内核的shellcode,编译需要非常小心,按照下面即可,我也写了注释,如果不懂,你就不用动了,看那段代码即可。
0x4 源码下载
**** Hidden Message *****
9999999999999 瞧一瞧看一看
页:
[1]