【承诺帖之一】驭龙的困惑，迷雾重重的Norton驱动技术，我已困惑N年

驭龙

上个月初，我曾经发帖http://bbs.kafan.cn/thread-1647501-1-1.html，承诺发几个新帖，但我上个月和这个月参加了几个活动，没时间发帖，今天我开始兑现我的承诺。

大概是两年多之前，我曾经跟姐夫讨论过关于驱动程序SYS注入常规进程的话题，当时姐夫说这是不可能的事情，虽然当时我不承认，但后期我也赞同姐夫的说法，毕竟驱动文件没有DLL的接口，应该是不可能注入到EXE的进程中。

然而在此之后的几个月以后，某一天我在Windows 7上安装NAV 免费半年版时，无意间使用procexp.exe在一个svchost进程中发现了诺顿自动保护驱动SRTSP.SYS注入。


有一句话我必须说，那就是此图绝非PS和技术处理，真的是实拍图。也绝非人为修改出的。

这是我时至今日仍然费解的事情，我本想还原这个情况，可之后无论如何，我都没有再次发现SRTSP注入svchost进程，这也是我从未提起过这件事的原因，毕竟我无法重现这个情况。（当然也不排除是procexp.exe的读取错误的可能）

我现在也我想不明白的事情，希望以后能弄清楚这个问题，哈。


PS：今天我之所以说这个事情，是上个月初答应@尘梦幽然  所以我才发这个，尘梦幽然不好意思了，我这个帖子晚了，不知你现在还能不能用得上，去问官方，哈

myzuzong

驭龙 发表于 2013-12-25 16:26
WD好像不可能，因为MA家族的驱动，我彻底研究过，而且也没有发现这个情况，同时你的图为何WD的驱动与其他 ...

我可以注入任何sys文件到某一进程。sys注入单个进程本来就是伪命题，驱动程序生存在虚拟地址空间的高位也就是内核态空间，而内核态地址空间是所有进程共享的。我可以把sys文件注入到一个进程的用户态地址空间，但这毫无意义。

尘梦幽然

我可以帮你发帖问问，有没有结果就不知道咯。

myzuzong

Windows Defender也有神秘技术哦~WD驱动注入notepad.exe~~

尘梦幽然

myzuzong 发表于 2013-12-25 16:13
Windows Defender也有神秘技术哦~WD驱动注入notepad.exe~~

看来是掌握了核心科技？！哈哈

驭龙

myzuzong 发表于 2013-12-25 16:13
Windows Defender也有神秘技术哦~WD驱动注入notepad.exe~~

WD好像不可能，因为MA家族的驱动，我彻底研究过，而且也没有发现这个情况，同时你的图为何WD的驱动与其他的模块大小有一点区别？

我的WD没有这个能力的，哈哈

驭龙

尘梦幽然 发表于 2013-12-25 16:13
我可以帮你发帖问问，有没有结果就不知道咯。

我估计不会有结果，我很担心是PE这个软件错误的情况，毕竟现在无法重现了

驭龙

myzuzong 发表于 2013-12-25 16:33
我可以注入任何sys文件到某一进程。sys注入单个进程本来就是伪命题，驱动程序生存在虚拟地址空间的高位也 ...

所有我说WD没有这个功能，必然是有问题，原来你是修改了虚拟内存的空间地址。

可我1楼发的是正常情况下出现的，而非人为操作产生

myzuzong

驭龙 发表于 2013-12-25 16:38
所有我说WD没有这个功能，必然是有问题，原来你是修改了虚拟内存的空间地址。

可我1楼发的是正常情况下 ...

显然是某种意外情况，而不大可能是某种“功能”，毕竟sys注入单个进程是没有意义的。

消停

以后我也注意一下！