阅读:1931回复:12
关于ROOTKIT的启动加载讨论
只有一个单独的SYS文件,普通的方法是直接写个动态加载,这个简单
就是多一个EXE文件 现在不要EXE就是一个单独的SYS系统启动时进行加载并运行 1.修改系统WIN.INI(试过效果不好) 2.修改磁盘内核(想知道要怎么修改没一点资料我去国外网站上找了也没有找到郁闷) 3.修改启引导程序(这个NB我在WWW.ROOTKIT.COM上面有找到一份代码,就关系部份给作者删除了) 还有没有更好的方法,或是那位是上面最后二个方法的思路??? 反过来如果要检查的话要怎么实现? |
|
沙发#
发布于:2007-10-17 09:44
不要EXE只有SYS如何进行1、2、3的修改?
|
|
板凳#
发布于:2007-10-17 13:31
引用第1楼GNiDiA于2007-10-17 09:44发表的 : EXE文件是服务端,释放出sys之后进行1、2、3的修改,然后自删除,毁尸灭迹...... 楼上的真是大智若愚...... |
|
|
地板#
发布于:2007-10-17 13:43
写个服务吧
|
|
|
地下室#
发布于:2007-10-17 20:28
还是mbr吧~mbr~
修改bios,然后bios修改int 13,然后修改ntldr内存,然后修改xxx,然后xxxxx启动啦~~~ |
|
|
5楼#
发布于:2007-10-17 22:40
还是mbr吧~mbr~
修改bios,然后bios修改int 13,然后修改ntldr内存,然后修改xxx,然后xxxxx启动啦~~~ 这个有创意,俺就是想找这个资料,死活找不到,版本给点希望我 发个代码出来我研究一下 |
|
6楼#
发布于:2007-10-17 22:45
说关键啦
NTLDR装载操作系统之前我要怎么修改? BIOS里面的内容我要怎么写入,不会叫我刷BIOS吧,那兼容性也太差了 还是说我要在主引导装载进内存之前就要改? 我知道怎么修改NTLDR添加CALLGATE进入RING0 不知道要怎么加载驱动然后启动 改的不好就NTLDR is missing |
|
7楼#
发布于:2007-10-18 08:00
对付EFI没那么容易吧??
|
|
|
8楼#
发布于:2007-10-18 12:33
改mbr不会被杀软发现么
|
|
9楼#
发布于:2007-10-19 11:43
引用第4楼killvxk于2007-10-17 20:28发表的 : 这个确实是可行的,而且可以做成虚拟还原那样流氓,只要发现mbr被恢复了,马上重新修改 不过你们也太无聊了 |
|
10楼#
发布于:2007-10-19 18:45
引用第7楼wowocock于2007-10-18 08:00发表的 : EFI可以直接作为扩展件吧~~比起危险的刷写,EFI扩展件更好吧~ 不过没有搞过,还是wowo来指教一下~ |
|
|
11楼#
发布于:2007-10-19 18:46
还有一个方法就是微指令patch,不过难度据说很xxx~~
而且据说通用性很差~ |
|
|
12楼#
发布于:2007-10-20 11:07
感染文件或者patch osloader怎么样?
|
|