Часть сорцов тдла, третьей версии - только для ознакомления!
Пароль: damagelab_KJSD(csvsdioiw*^
Пароль: damagelab_KJSD(csvsdioiw*^
TDL3/4
- Автор темы Chococream
- Дата начала
код паблик довольно давно
В архиве лежат: свежий сэмпл расшифрованного драйвера, idb файл ida 6 (более ранние версии не отроют файл), файл с комментариями.
Пока проанализированы (хотя, могу и ошибиться) только функции внедрения dll.
Примерная карта следования:
DriverEntry
|
TDL_Init
|
LoadImageNotify(PsSetLoadImageNotifyRoutine)
|
получение адресов функций
|
APCInjectRoutine(KeInitializeApc)
|
WIInjector
|
DllInject_
|
DllInject
В скором времени будет выложен исходник инжектора и алгоритм скрытия.
Пока проанализированы (хотя, могу и ошибиться) только функции внедрения dll.
Примерная карта следования:
DriverEntry
|
TDL_Init
|
LoadImageNotify(PsSetLoadImageNotifyRoutine)
|
получение адресов функций
|
APCInjectRoutine(KeInitializeApc)
|
WIInjector
|
DllInject_
|
DllInject
В скором времени будет выложен исходник инжектора и алгоритм скрытия.
Вполне работоспособный кодес для внедрения шелл кода из ядра
Драйвер TDL3 (/dm_builder/clean/tdlserv.sys) в некриптованном виде, слил с командного сервера Догмы, возможно пригодится для анализа.
Добавлено в [time]1313398493[/time]
Чья-то попытка восстановить исходник TDL3
Добавлено в [time]1313398493[/time]
Чья-то попытка восстановить исходник TDL3
реверс четвертой версии
https://xss.pro/index.php?topic=21990
https://xss.pro/index.php?topic=21990
greenzy, мб перенести её сюда ? дабы была общая тема про тдл ? если думаете развивать ...
да, перенеси её