這個題? 是驅動題 幸虧 自己以前學過驅動 所以對這個東西有所了解

其實這個驅動一開始我看的也很懵? 不知道是干啥的

然后我先去看了看 卸載函數 看看他里面有什么東西 然后發現了這個

?然后我就get 他的點了??? 開/關內存保護? 然后 把正確的地址寫回去?

這個我以前研究過 一段時間的驅動 然后順著這個路線 我 就大概懂了這個程序的邏輯

這個程序是用inline hook??? 其實可以在這里看出來

跳轉 的硬編碼?

? 然后進里面看一下都是什么

獲取我們 打開的 文件名 如果是 substr 這個 名字的話 就加一 如果是 超過8次的話 就會執行兩個函數

往記事本里面寫入 byte_16390 我們去看一下哪里修改了 這個值

這里是字符加密 我們嘗試解密?

#include<stdio.h> #include<string.h> #include<algorithm> #include<vector> #include<iostream> #include<map> #include<time.h> #include<queue> #include "windows.h" using namespace std; long int ida_chars[] = {0x5c6e1395,0x5c5813a2,0x5c5413b3,0x5c541388,0x5c57139a,0x5c5013a9, 0x5c6e13a2,0x5c0213f7,0x5c1f13f6,0x5c4913b1,0x13b1,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0,0x0 }; char l[49]; char p[]={112,116,55,101,71,102,5,97,17,32,12,115,109,65,58,115, 54,109,22,108,9,95,40,110,11,105,49,101,109,104,92,111,88,95,106,114, 2,0,120,0,116,0,80,0,95,0,103,0,105,0,118,0,101,0,77,0,101,0,95,0,102, 0,108,0,97,0,103,0,95,0,50,0,51,0,51,0,46,0,116,0,120,0,116,0,80,0,95,0, 103,0,105,0,118,0,101,0,77,0,101,0,95, 0,102,0,108,0,97,0,103,0,95,0,50,0,51,0,51,0,46,0,116,0,120,0,116,0,80,0}; wchar_t s[128]; int main() {int j=0;for(int i=0;i<16;i++,j+=2){s[j]=(ida_chars[i]^1546720197)&0xffff;//printf("%x\n",ida_chars[i]^1546720197);s[j+1]=((ida_chars[i]^1546720197)>>16)&0xffff;//printf("%x\n",s[j+1]);}printf("%ws\n",s);printf("\n");for(int i=0,j=0;i<12;i++,j+=4){//printf("%x\n",ida_chars[i]^1546720197);l[j]=(ida_chars[i]^1546720197)&0xff;l[j+1]=((ida_chars[i]^1546720197)>>8)&0xff;l[j+2]=((ida_chars[i]^1546720197)>>16)&0xff;l[j+3]=((ida_chars[i]^1546720197)>>24)&0xff;//printf("%x %x %x %x\n",l[j],l[j+1],l[j+2],l[j+3]);}for(int i=0;i<128;i++){p[i]^=l[i%42];}printf("%s\n",&p);return 0; }

然后得出

然后驅動的邏輯我們也能夠清楚了

inline hook ntcreatefile? 然后 統計 P_giveMe_flag_233.txt 打開的次數

如果是第九次 那么 就會把flag 寫入到txt 里面

?

?

第一次 接觸到 windows 驅動題 而且還能夠 拿到flag 并且分析出 驅動邏輯

感覺還挺有成就感的

?

總結

以上是生活随笔為你收集整理的MyDriver2-397 XCTF 3rd-RCTF-2017 （windows 驱动题）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。