精华内容
下载资源
问答
  • IT之家2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。该勒索软件利用的是2018年技嘉驱动...

    IT之家2月8日消息 据外媒报道,安全公司Sophos近日警告称,新型勒索软件目前已可以通过攻击技嘉驱动程序来入侵Windows系统并通过部署第二个驱动程序来禁用正在运行的杀毒软件。

    该勒索软件利用的是2018年在技嘉驱动程序中发现的安全漏洞,技嘉(Gigabyte)已确认该BUG的存在,后者允许恶意攻击者利用此漏洞来尝试访问设备并部署,目的是阻断杀毒软件等常规安全软件对PC的保护。该安全漏洞在CVE-2018-19320中有详细说明。

    ec60c1d10f18efaf2c334d5c17b77e87.png

    Sophos表示:“第二个驱动程序会阻断安全软件的进程和文件,绕过篡改保护,使勒索软件能够不受干扰地对用户电脑进行攻击”,“这是我们第一次观察到有勒索软件通过利用拥有微软联合签名的第三方驱动程序来修改内核文件进而达到加载自己未签名的恶意驱动程序,并从内核中删除安全应用程序的目的。”

    恶意驱动程序

    黑客使用的勒索软件为RobbinHood,受害者必须通过付款的方式以解锁文件。赎金记录显示,如果受害者不付款的话,赎金额度就会以10,000美元/天的速度上升。

    被利用的技嘉gdrv.sys驱动程序的可执行文件被称为Steel.exe,它在Windows临时文件夹中提取一个名为ROBNR.EXE的文件,该文件提取了两个不同的驱动程序,一个是技嘉开发的(易受攻击的驱动程序),和另一个用于在受感染设备上禁用防病毒软件的软件。受害者电脑一旦被利用,Windows驱动程序签名将被强制禁用进而允许恶意驱动程序启动。

    Sophos表示,除了继续使用安全软件阻止攻击外目前尚无能够帮助用户阻止自己的PC被利用的办法,因为即使是安装了完整补丁程序的计算机也有可能受到威胁。

    展开全文
  • <p>I am using the Filepath.Walk in Go to try to get all the folders under C: recursively. However it just returns me sub-folders starting with $Recycle.Bin.... <pre><code>package main ...
  • 适用于在苹果电脑上安装Windows系统使用,而这个文件是从Bootcamp的安装目录中提取出来的,可供在Windows系统(64位)上正常使用superdrive光驱而必须安装的驱动程序。 注:这款驱动程序原名为“苹果磁盘驱动程序”...
  • Windows驱动程序搜索路径修改器,是一款用于设置windows寻找驱动时的目录位置的软件。我们都知道当第一次使用新设备的时候系统会自动...当用户重新安装系统时,只需要从这个文件夹下提取驱动程序就可以了. 软件截图:
  • 尽管网上已经有很多帖子介绍如何搭建Windows驱动开发环境,Jungle照着这些帖子仍旧折腾了很长时间。终于搭建成功后记录下环境搭建过程,方便大家使用。 1.安装包准备 Visio Studio2013:...

    你的Windows驱动开发环境之所以搭建不成功,是因为你没有看这篇博客

    1.安装包准备

    • Visio Studio2013: https://pan.baidu.com/s/1P77yeSKuE7mWllcpVUKtrQ  提取码:sbav
    • WDK8.1:https://www.microsoft.com/en-us/download/details.aspx?id=42273
    • VMware Workstation: https://pan.baidu.com/s/1LNhuddA_tNtFsicOiMhW0Q  提取码:hkts
    • Windows 7 x64系统镜像:https://pan.baidu.com/s/17uMSeqLM6VrLHPdCuwfiIw   提取码:v818
    • 驱动开发测试的工具集,包括DriverMonitor,DebugView,WinObj等:https://pan.baidu.com/s/1n1RCBRiancAIM2c4myzRCQ  提取码:j1j3 

    2.安装顺序

    2.1. 安装vs2013和WDK8.1

    先安装vs2013,再安装WDK8.1,安装完成后,vs界面如下:

    2.2.VMware Workstation

    安装VMware Workstation。安装完成后,新建虚拟机,按照下述步骤,然后点击“开启此虚拟机”,等待安装完成即可。

    2.3.安装Vmware Tool

    安装完成以后,在VMware Workstation软件界面菜单栏点击“虚拟机”,选择“安装Vmware Tool”,按照提示完成安装。安装Vmware Tool方便我们直接从本地宿主机上直接复制文件到虚拟机中。

    接下来可以把DriverMonitorDebugView两个文件夹直接复制到虚拟机中。

    这里说一下为什么需要虚拟机。我们要测试自己开发出来的驱动程序,其实在本机上也是可以的,但是因为驱动程序是和内核打交道,用本机不太放心,可能一些尝试性的操作会损坏本机系统,比如导致蓝屏等,影响本机开发,所以需要另一台机器。另一台机器可以是一台实实在在的电脑,但没有必要,直接用虚拟机当测试机即可。

    2.4.开启Test Mode

    虚拟机里以管理员模式打开cmd,输入bcdedit /set testsigning on,回车,重启后,测试模式开启。在桌面右下角有标识测试模式的水印。

    3.测试

    3.1.简单的驱动代码

    开启VS2013,新建一个Empty WDM Driver,项目名我命名为“TestDriver”。工程建好后默认生成两个项目,TestDriver和TestDriver Package,移除掉TestDriver Package。在TestDriver下添加一个test.c的文件,加入下述代码:

    #include <wdm.h> 
    
    NTSTATUS DriverUnload(PDRIVER_OBJECT driver)
    {
    	UNREFERENCED_PARAMETER(driver);
    
    	DbgPrint("Unload driver");
    	return STATUS_SUCCESS;
    }
    
    NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING regpath)
    {
    	UNREFERENCED_PARAMETER(regpath);
    	driver->DriverUnload = DriverUnload;
    
    	DbgPrint("Hello world");
    	return STATUS_SUCCESS;
    }

    这是一个最简单的驱动程序,仅包含DriverEntry驱动入口程序和一个卸载例程DriverUnload,两个函数里都用DbgPrint函数打印了两行log,这两行log可以在虚拟机里的DbgView里看到。

    编译之前,点击“配置管理器”,活动解决方案平台选择x64,因为虚拟机里的win7系统是64位的,所以这里我们也要选择x64。

    3.2.属性里设置签名和证书

    在项目属性里,按照下图选择签名方式Test Sign,在Test Certificate里选择“Create Test Certificate”:

    签名这个过程是必须的,没有签名,驱动文件在虚拟机上安装不了,这是微软的要求。

    3.3.编译工程

    接下来编译工程,编译成功后在工程文件夹 x64文件夹下的Win7Debug下会生成如下文件:

     第一个文件是证书,第二个inf文件是安装信息,sys文件是驱动安装文件。

    3.4.拷贝文件至虚拟机

    将整个x64文件夹下的Win7Debug文件夹都拷贝到虚拟机里。

    3.5.安装证书

    在虚拟机中打开Win7Debug文件夹,右键单击TestDriver.cer,弹出的菜单中选择安装证书。安装完成后回弹出对话框,提示证书安装完按成。

    3.6.管理员身份打开DbgView

    在虚拟机中,以管理员身份打开Dbgview,在Capture菜单里勾选Capture Kernel, Enable Verbose Kernel Output, Pass-through,Capture Events:

    3.7.管理员身份打开DriverMonitor,安装卸载驱动

    管理员身份打开DriverMonitor,选择TestDriver.sys的路径,进行安装或者卸载驱动,可以在Dbgview里看到我们在代码里写的打印信息。

    按照上述步骤,驱动开发环境就算搭建成功了,接下来就可以进行驱动开发了。 

    展开全文
  • 前面的话 笔者的文章环境 物理Win10 + VMware® Workstation 16 Pro + 虚拟Winxp + 虚拟Win7 + 虚拟Win10+VS2019+wdk10 widnows xp winxp因为微软以及不提供支持了,所以服务器上并找不到符号表 推荐使用下面的...

    写在前面的话

    笔者的文章环境 物理Win10 + VMware® Workstation 16 Pro + 虚拟Winxp + 虚拟Win7 + 虚拟Win10+VS2019+wdk10

    在这里插入图片描述

    widnows xp

    winxp因为微软以及不提供支持了,所以服务器上并找不到符号表
    推荐使用下面的方案:
    在这里插入图片描述

    链接:https://pan.baidu.com/s/1RfHUyE6vXrau_Cvf1Zlnew 
    提取码:ao9r 
    

    https://download.csdn.net/download/weixin_43833642/14976717

    vmware
    在这里插入图片描述

    windgb
    在这里插入图片描述

    \\.\pipe\com1
    

    在这里插入图片描述

    winxp

    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional[Debug]" /noexecute=optin /fastdetect /debug /debugport=com1
    

    windows 7

    串口调试

    虚拟机配置
    在这里插入图片描述

    bcdedit /debug on
    bcdedit /dbgsettings serial debugport:1 baudrate:115200
    bcdedit /set testsigning on
    bcdedit /dbgsettings
    

    windbg配置
    在这里插入图片描述

    网络调试

    笔者win7版本不支持网络调试,部分版本支持,参考下面win10

    windows 10

    串口调试

    bcdedit /debug on
    bcdedit /dbgsettings serial debugport:1 baudrate:115200
    bcdedit /set testsigning on
    bcdedit /dbgsettings
    

    在这里插入图片描述

    网络调试

    bcdedit /debug on
    bcdedit /dbgsettings net hostip:192.168.0.2 port:53000
    bcdedit /set testsigning on
    bcdedit /dbgsettings
    

    在这里插入图片描述

    符号表设置

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    SRV*d:\symbols*http://msdl.microsoft.com/download/symbols
    

    其他

    https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/getting-started-with-windows-debugging

    网线调试:
    笔者没有物理设备,下面都是找到的资料,可以参考一下
    https://blog.csdn.net/lixiangminghate/article/details/51785521
    https://www.mobibrw.com/2014/1469
    https://www.cnblogs.com/yilang/p/11429067.html
    https://bianchengnan.gitee.io/articles/summary-of-remote-kernel-debug-setup/
    http://advdbg.org/blogs/advdbg_system/articles/5954.aspx
    https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/setting-up-a-usb-3-0-debug-cable-connection

    wingdb
    WinDBG输出Windows驱动或者内核信息,可代替debugview

    ed kd_default_mask 0xffffffff
    ed kd_default_mask 0xf
    

    写在最后的话

    如果有帮到你,请记得点个赞,谢谢!

    展开全文
  • Windows Imaging (WIM) 驱动

    2012-11-19 04:39:04
    从 WAIK for Windows 7 中提取的 WIM 驱动,包括 x86 和 amd64 版本 │ ├─amd64 │ wimgapi.dll │ wimmount.inf │ wimmount.sys │ WimMountInstall.exe │ wimserv.exe │ └─x86 wimgapi.dll wimmount....
  • 此仓库包含在Windows上运行的基于Python的机器人,该机器人利用PyOpenRPA库在单独的文件中搜索和提取Yandex结果。 笔记! Selenium Web驱动程序和Google Chrome便携式版本已从此存储库中删除,因为该机器人的发布仅...
  • 苹果鼠标MagicMouse32位 64位驱动原版光盘中提取出来的。经过测试可以window xp windows 7中实现滚动。如果使用BlueSoleil作为蓝牙管理器,则不能使用滚动。
  • Windows10 部分系统无法安装USB转串口驱动问题解决前言问题解决方案 前言 拿到一台红米电脑,发现系统无法自动识别并安装u转串驱动,于是找了相关资料。 问题 以下是问题图片 我安装系统自带驱动的时候遇到了这样...

    Windows10 部分系统无法安装USB转串口驱动问题解决

    前言

    拿到一台红米电脑,发现系统无法自动识别并安装u转串驱动,于是找了相关资料。

    问题

    以下是问题图片
    显示未知设备
    在我安装系统自带驱动的时候遇到了这样的问题
    新的问题
    于是只能在网上找CH340的驱动。

    解决方案

    下面是驱动下载链接
    链接: https://pan.baidu.com/s/1XzaXWgQg5wyEIICU-YwKLg
    提取码:945t
    下载驱动后首先解压文件

    打开设备属性
    设备属性
    点击驱动栏目
    点击更新驱动程序按钮
    点击更新驱动程序
    选择浏览我的电脑以查找驱动程序
    点击浏览
    找到解压CH340驱动的文件夹,点击下一步安装即可
    点击下一步安装

    完成安装

    展开全文
  • Windows下苹果原生读取HFS+分区驱动

    千次阅读 2012-04-05 01:56:58
    前段时间上网无意间知道因为BootCamp,苹果原生就有驱动可以在Windows下读取HFS+,既然这样Nie就不用安装MacDrive了,因为以前用MacDrive老觉得它不稳定。  今天为了提取BootCamp里的HFS+驱动,Nie搞了很久,
  • 它可以Linux,OSX和Windows上运行,并支持 RGB和深度图像 马达 加速度计 引领 声音的 注意:如果您拥有更新的Kinect v2(XBox One),请改用 。 制作说明 要构建libfreenect,您需要 > = 1.0.18(Windows需要> =...
  • 驱动注入工具

    2019-03-17 12:18:25
    工具说明: 本工具用于为Windows 7操作系统(含MSDN版本和零售版本)自动集成USB3.0驱动以及NVME硬盘驱动,以方便新机型上安装Windows 7操作系统... 运行“驱动注入工具.EXE”自动提取驱动注入工具,提取工具如图1:
  • 最近帮朋友一起研究了USRP系列硬件的上位机配置,USRP在Linux下非常友好,在windows下,就不太友好了。还是踩了几个坑,我把必要的文件打包到云盘。 链接https://pan.baidu.com/s/1rMJyQEYQHCI8k8qEXsHKyQ: 提取码:...
  • 最近学习The-Hacker-Playbook-3这本书,书中介绍的红队的第一个核心工具:Metasploit 框架,尽管 Metasploit 框架从 2003 年开发的,但它现在仍然是一个非常棒的工具。有最初的开发者 H.D. Moore 和非常活跃的社区...
  • talls基础驱动程序,用于英特尔网络适配器英特尔®PROSet为Windows *设备管理,先进的网络服务(ANS)和SNMP的Windows * 2000,在Windows * XP和Windows Server * 2003。 此下载不适用于Microsoft Windows Vista *或...
  • Win7系统镜像文件中注入USB3.0和NVME的驱动,注入...适用的操作系统:Windows 7 32位/64位、Windows 8 32位/64位Windows 8.1 32位/64位、Windows 10 32位/64位操作步骤:1、提取工具运行“驱动注入工具.EXE”...
  • 设计用于Kiosk模式下运行的Windows 10计算机。 应用启动时自动启动先前加载的业务流程。 最低许可要求减少了高度攻击面。 入门 先决条件 Windows计算机了。 已知的问题 由于我们渲染网页的方式,您无法按Escape...
  • MySQL Connector ODBC 3.51地址:链接:...已经安装了mysql连接驱动但是管理工具 --数据源下没有找到该驱动 解决办法:(我的是windows7 64位) 1、开始-命令行-cmd 2、输入cd C:\Windows\SysWOW64 &...
  • TSC驱动安装

    2019-11-05 10:43:06
    TSC驱动安装 1.复制dll文件到C:\Windows\system中 下载DDL文件 ... 提取码:z9d2 将DDL文件夹中的文件全部复制到C:\Windows\system中...Windows+R打开(Windows在Ctrl键和Alt中间)运行窗口输入regsvr32 C:\Windows...
  • 驱动提取专家是一款绿色版本的系统驱动程序备份工具,能够扫描隐藏的WINDOWS系统驱动,可备份指定的驱动,也可以全选后备份全部驱动,重新安装系统前,可使用这个工具备份电脑中所有的硬件驱动系统全新安装后,...
  • Win7系统镜像文件中注入USB3.0和NVME的驱动,注入...适用的操作系统:Windows 7 32位/64位、Windows 8 32位/64位Windows 8.1 32位/64位、Windows 10 32位/64位操作步骤:1、提取工具运行“驱动注入工具.EXE”...
  • 软件介绍: 这个驱动是从AMD的驱动包中提取出来的。安装时请直接设备管理器中,使用驱动更新方式进行手动安装,用于X64位WINDOWS操作系统。
  • ThinkPad AHCI 驱动

    2010-10-31 17:01:50
    在Windows预压。留“AHCI”模式,当您启动Windows预压。 -------------------------------------------------- ------------------------------ 安装说明 注意: - 如果您的计算机上运行圆满现在,它可能没有...
  • 驱动精灵2009绿色版

    2010-01-04 14:44:27
    驱动精灵不仅可以快速准确的检测识别您系统中的所有硬件设备,而且可以通过在线更新及时的升级驱动程序,并且可以快速地提取、备份及还原硬件设备的驱动程序。大大的简化了原本复杂的操作过程的同时,也缩短了操作...
  • 其实win7下无法完成刷机和vista下的原因一样,是由于刷机软件AmoiFlash不支持微软提供的新型‘Microsoft USB Sync'驱动,解决的办法就是用从 Activesync 4.5 RTM 中提取的usb驱动把新驱动替代掉替代掉,具体操作...
  • CY7C68013A签名的驱动

    2018-06-25 15:28:38
    自己从CY3684-FX2LP DVK安装包里提取出来的(cy3684kit_revSA), 这个是3.4.5签名的驱动,能64位的windows7下使用。
  • PL-2303驱动

    2021-05-10 23:10:29
    PL2303 是Prolific 公司生产的一种高度集成的RS232-USB...分享一个可以在Windows10下正常使用的驱动程序给有需要的朋友 [百度网盘链接]提取码:up08 (%E9%93%BE%E6%8E%A5%EF%BC%9Ahttps://pan.baidu.com/s/1vOq0ZqA7e
  • 华为服务器网卡驱动

    千次阅读 2019-09-30 18:54:08
    华为服务器网卡驱动安装系统环境Windows2008R2适合以下机型安装。提取码:hxxb RH1288 V3 RH2288 V3 RH2288A V2 RH2288E V2 RH2288H V2 RH2288H V3 RH5885 V3 转载于:...
  • Windows消息机制

    2015-05-10 18:44:33
    Windows 基于消息驱动系统,为了存放消息,系统提供系统消息队列.工作原理: 系统监控到事件的发生时就会产生相应消息并存放到消息队列中。每个Windows应用程序也有自己的消息队列。系统处理系统消息队列时会将属于...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 402
精华内容 160
关键字:

在windows提取驱动