Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 130
- Реакции
- 3
Братва, наткнулся тут в своих завалах на старую тему, которую ковырял еще несколько месяцев назад. Речь про CorsairLLAccess64.sys — отличный способ получить Ring 0 I/O port R/W доступ, не прибегая к написанию собственных драйверов и возне с их подписью.
Суть метода в том, что мы юзаем уже подписанный вендорский драйвер Corsair. Если декомпильнуть их модуль CorsairLLAccessLib64.dll, становится понятно, что можно спокойно инжектить его в свой процесс, дергать CrGetLLAccessInterface и получать таблицу для работы с портами ввода-вывода напрямую из юзермода.
Техническая часть:
Для тех, кто сейчас пишет свой лоадер или работает над кастомным драйвером для экстернала, — это неплохая база. По крайней мере, не нужно париться с кастомной малварью, пока античит не начнет целенаправленно мониторить подобные IOCTL-запросы от корсаровских дров.
Скинул репозиторий, чтобы не терялось. Кому интересно покрутить — смотрите на гитхабе в профиле /Syscallh00k/Corsair-Ring-0-I-O-Ports.
Народ, кто сейчас активно ковыряет Ring 0, отпишитесь — как думаете, насколько быстро сейчас отлетают в детект при использовании именно этого интерфейса? Есть у кого опыт использования Corsair-дров в реальных проектах, или уже лучше смотреть в сторону более экзотических вариантов, чтобы не получить пермач в первой же катке?
Суть метода в том, что мы юзаем уже подписанный вендорский драйвер Corsair. Если декомпильнуть их модуль CorsairLLAccessLib64.dll, становится понятно, что можно спокойно инжектить его в свой процесс, дергать CrGetLLAccessInterface и получать таблицу для работы с портами ввода-вывода напрямую из юзермода.
Техническая часть:
- Легитимность: Используем подписанный софт производителя, что значительно упрощает жизнь при обходе базовых проверок.
- Доступ: Получаем полноценный доступ к портам R/W на нулевом кольце.
- Реализация: Можно либо слать IOCTL-запросы напрямую, либо через интерфейс либы.
Для тех, кто сейчас пишет свой лоадер или работает над кастомным драйвером для экстернала, — это неплохая база. По крайней мере, не нужно париться с кастомной малварью, пока античит не начнет целенаправленно мониторить подобные IOCTL-запросы от корсаровских дров.
Скинул репозиторий, чтобы не терялось. Кому интересно покрутить — смотрите на гитхабе в профиле /Syscallh00k/Corsair-Ring-0-I-O-Ports.
Код:
// Ссылка на гитхаб: /Syscallh00k/Corsair-Ring-0-I-O-Ports
// Ссылка на билд: https://mega.nz/file/LRwkVCaR#FNkOIRLbGDTCZzsiV6hhuG1MP9aEz6YK1FO2XH6sKb0
// Ссылка на VT: https://www.virustotal.com/gui/file-analysis/N2U3OGJiZjI4NTAyZDM1YWRmOTcwZDdmMWNhNzdlOTM6MTc3NDQzNzY3Ng==Народ, кто сейчас активно ковыряет Ring 0, отпишитесь — как думаете, насколько быстро сейчас отлетают в детект при использовании именно этого интерфейса? Есть у кого опыт использования Corsair-дров в реальных проектах, или уже лучше смотреть в сторону более экзотических вариантов, чтобы не получить пермач в первой же катке?
