Lab 10-2

该实验的文件为Lab10-02.exe。

问题

1.这个程序创建文件了吗?它创建了什么文件?

1.创建了文件"C:\Windows\System32\Mlwx486.sys”.

2.是一个驱动文件,文件放在了资源表,资源序号0x65;

2.这个程序有内核组件吗?

有一个sys驱动程序.

3.这个程序做了些什么?

1.lab10-02.exe把放在资源表里的sys文件释放到”C:\Windows\System32\“下,文件名为Mlwx486.sys.然后通过SCM加载驱动.

2.驱动在入口函数通过MmGetSystemRoutineAddress函数获取了KeServiceDescriptorTable导出地址和NtQueryDirectoryFile导出函数地址.

3.通过遍历SSDT表找到相对应的表项,然后替换成事先准备好的函数进行hook.

4.在事先准备的函数照常调用了原有函数通过函数返回数据中比较文件名是不是为'Mlwx',如果是的话就把当前单项链表摘掉:上一个链表直接通过加偏移指向当前的下一个结构体. A->B->C —–> A->C

5.HOOK完成,返回程序.