怎么样在驱动层截获用户层获取MAC地址(GetAdaptersInfo)
本帖最后由 yangchangqu 于 2013-09-06 14:12:23 编辑 本人宿舍网络是联通的,需要代理到电信去玩游戏。有一款迅游代理软件第一次安装可以使用6天,之后就得充值购买使用时间,重装等一系列都无效,所以我想它应该是获取了我的硬件信息到他们的服务器。
我尝试去HOOK GetAdaptersInfo,在日志确实发现它程序启动的时候有去调这个API,但是程序启动过程中会卡死,所以想在驱动层截获修改数据去欺骗上层应用软件。 驱动 HOOK
[解决办法]
这个有点难了,应用程序都是调用底层驱动的接口来获取网卡的信息,但是windows的驱动是不对外公开的,所以是没的改的
[解决办法]
1.实现难度不大,加一个过滤驱动就可以。在DDK里面有类似的例子。
2. 如果仅仅要改Mac地址,不用这么复杂,修改注册表就可以了。
[解决办法]
没那么简单吧,首先你要知道他是怎么获取你的适配器信息的,一种是直接调用api,这样的话通过tdi过滤驱动可以拦截irp包,然后修改相应信息,如果软件本身是通过自身的协议驱动发送数据包,应用层再与驱动层通信的话,tdi过滤驱动是拦截不到数据包的,这样的话你就只能通过中间层驱动来拦截,一般是对网卡信息的查询irp,中间层驱动能拦截所有的数据包,但是难度也比tdi过滤驱动大。
