TDL

Weitere Informationen finden Sie unter

• Besiege von X64 Treiber Unterschriften Durchsetzung http://www.kernelmode.info/forum/viewtopic.php?f=11&t=3322
• Winnt/turla http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3193

• X64 Windows 7/8/8.1/10.
• TDL wurde nur für X64 Windows entwickelt, Vista nicht als unterstützt, da es veraltet ist.
• Verwaltungsberechtigte sind erforderlich.
• Beladene Treiber müssen speziell als "fahrerlos" ausgelegt sein.
• Keine SEH -Unterstützung für Zielfahrer.
• Kein Treiber entladen.
• Nur Ntoskrnl -Import gelöst, alles andere liegt bei Ihnen.
• Beispiele für Dummy -Treiber.

Sie verwenden es auf eigenes Risiko. Einige faule AV können diesen Loader als Malware markieren.

Während sowohl Dsefix als auch TDL den Vorteil des Treibers nutzen, unterscheiden sie sich auf dem Weg der Verwendung völlig unterscheiden.

• DSEFIX Manipuliert Kernelvariable namens G_cienabled (Vista/7, ntoskrnl.exe) und/oder g_cioptions (8+. Ci.dll). Hauptvorteil von DSEFIX ist es Einfachheit - Sie schalten DSE aus - laden Sie Ihren Treiber (oder einen gepatcht) und nichts anderes ist erforderlich. Der Hauptnachteil von DSEFIX ist, dass in der modernen Version von Windows (8+) G_CIOPTIONS Variable unter dem Schutz von PatchGuard (KPP), das bedeutet, dass DSEFIX ein potenzieller BSOD-Generator ist.
• TDL patscht keine Kernelvariablen, was es freundlich zu PatchGuard macht. Es verwendet Small ShellCode, mit dem Ihr Treiber in den Kernel -Modus geordnet ist, ohne Windows Loader einzubeziehen (und als Ergebnis, ohne Teile von DSE auszulösen) und es ausführen). Dies ist der Hauptvorteil von TDL - nicht invasiver Bypass von DSE. Es gibt jedoch viele Nachteile - der erste und Haupt -> Ihr Treiber muss speziell als "fahrerlos" erstellt werden, was bedeutet, dass Sie keinen Treiber laden, sondern nur speziell gestaltet werden können. Ihr Treiber wird im Kernel -Modus als ausführbarer Codepuffer existieren. Er wird nicht mit psloadedModulelist verknüpft, es wird andere Einschränkungen geben. Dieser Code funktioniert jedoch im Kernel -Modus und die Anwendung des Benutzermodus kann mit ihm kommunizieren. Sie können natürlich mehrere Treiber laden, wenn sie nicht miteinander in Konflikt stehen.

Es verwendet die WINNT/Turla -Virtualbox -Kernel -Modus -Exploit -Technik, um Code in den Kernel -Speicher zu schreiben und diesen Code auszuführen. TDL verwendet benutzerdefinierte Bootstrap -Shellcode, um Ihren speziell gestalteten Treiber zuzuordnen und IT -Einstiegspunkt (DriverEntry) aufzurufen. Beachten Sie, dass die Treiber -Parameter ungültig sind und nicht verwendet werden dürfen. Beispiele für speziell entwickelte Treiber, die als Dummydrv und Dummydrv2 erhältlich sind. Ihr TriverEntry wird auf der IRQL Passive_Level bis zu Windows 10 RS1 ausgeführt. Ausgehend von Windows 10 RS2 wird Ihr Treiber -Code auf IRQL isspatch_level ausgeführt.

TDL verfügt über einen vollständigen Quellcode. Um aus Source zu erstellen, benötigen Sie Microsoft Visual Studio 2015 U1 und spätere Versionen. Für Treiberbaue benötigen Sie Microsoft Windows Driver Kit 8.1 und/oder höher.

• Wählen Sie zuerst Plattform Toolset für das Projekt in Lösung, die Sie erstellen möchten (Projekt-> Eigenschaften-> Allgemein):
  • V120 für Visual Studio 2013;
  • V140 für Visual Studio 2015;
  • V141 für Visual Studio 2017.
• Für V140 und oben SET-Zielplattformversion (Projekt-> Eigenschaften-> Allgemein):
  • Wenn v140, wählen Sie 8.1 (Beachten Sie, dass Windows 8.1 SDK installiert werden muss).
  • Wenn v141, wählen Sie 10.0.17763.0 (Beachten Sie, dass Windows 10.0.17763 SDK installiert werden muss).

Entfernen Sie Linker Option /Nocoffgrpinfo, wo sie nicht unterstützt /nicht verfügbar ist.

TDL basierend auf dem alten Oracle VirtualBox -Treiber, der 2008 erstellt wurde. Dieser Treiber wurde nicht so konzipiert, dass er mit den neuesten Windows -Betriebssystemversionen kompatibel ist und möglicherweise falsch funktioniert. Da TDL vollständig auf dieser genauen VirtualBox -Treiberversion LPE basiert, ist es nicht ratsam, sie auf der neuesten Version von Windows zu verwenden. Betrachten Sie dieses Repository als deprimiert/verlassen. Die einzigen möglichen Aktualisierungen können nur mit dem TDL -Loader selbst zusammenhängen.

(c) 2016 - 2019 TDL -Projekt

• R136A1
• N. Rin