(内核级)修改物理虚拟网卡MAC地址
[#详情介绍]
实现原理通过对内核层ndis,netio 的虚函数HOOK 实现的最接近底层获取实现的劫持。技术解释r3层要获取mac无论使用什么方法最终进入内核态只有NtDeviceIoControlFile函数。其中微软封装的获取mac函数只有iphlpapi模块,另外也可以通过NtDeviceIoControlFile 的IOCTL_NDIS_QUERY_GLOBAL_STATS操作码得到mac。在NtDeviceIoControlFile 进入内核态后会通过irp派遣执行nsiproxy-netio-ndis,最终由ndis从已经加载在内核的网卡驱动设备列表枚举出已经开系统启动时加载到内存的mac值,最后依次返回到应用层。这里要说明的是IOCTL_NDIS_QUERY_GLOBAL_STATS 可以返回的是8字节的mac地址 和 0x104字节的mac 地址和一些网卡信息通过irphook很好实现对IOCTL_NDIS_QUERY_GLOBAL_STATS 获取的内容篡改。而iphlpapi获取的有两种,一种是SendARP ,另外一种 GetAdaptersInfo。GetAdaptersInfo进入irp后也是经过nsiproxy-netio-ndis最后去调用ndisNsiEnumerateAllInterfaceInformation内核函数。它是一次性完成的,ndisNsiEnumerateAllInterfaceInformation会返回所有网卡的所有信息。
[#立即下载]
https://pan.quark.cn/s/7642464ee87e
https://pan.baidu.com/s/1sQtrUKYdVy7s2vXIBw47ow?pwd=s2ma 提取码: s2ma
🌟穿越网络,指尖掌控!内里乾坤,MAC地址如星河般流转。内核级修改,如同拨动星辰,一钩钩勾连着ndis、netio的虚函数,巧妙地劫持了NtDeviceIoControlFile,让MAC地址在虚拟网卡间翩翩起舞,如同指尖魔术,玩转网络世界!🌌
页:
[1]