在寒江独钓:windows内核安全编程中介绍使用srvinstw来安装驱动,下载地址是
说该程序竟然不支持sys扩展名,试用后也证实这一点,想修改该程序支持sys扩展名.
使用PEiD发现该程序使用了ASPack 2.12加压缩壳了。在
下载脱壳工具waspack,执行脱壳。
使用untraedit打开脱壳后的程序,查找字符串Services
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
00001120 00 00 00 00 00 00 00 00 42 72 6F 77 73 65 00 00 ........Browse..
00001130 53 65 72 76 69 63 65 73 00 2A 2E 65 78 65 3B 2A Services.*.exe;*
00001140 2E 63 6F 6D 00 00 00 00 25 73 25 75 00 00 00 00 .com....%s%u....
将*.com改成*.sys保存。
运行修改后的程序,发现可以支持sys扩展名.
