-
全文
其实这并不是一种真正意义上的隐藏,而是一种器欺骗用户眼睛的方式。很多anti rootkit/rootkit detector在显示进程、文件、注册表,端口等时都使用listbox或者listctrl,因此如果对控件本身进行修改(某文件)或者劫持控件消息,就可以轻易的对特定的项...
◆
◆
-
killvxk:引用第12楼z.b.Azy于2007-08-13 12:10发表的 : 有什么新思路和新角度么? 商业化,不求那些新xxx 求实用!(2007-08-13 15:04)
-
z.b.Azy:引用第11楼killvxk于2007-08-13 11:17发表的 : ring3也可以控制加载~ 我们正确做一个纯ring3的rootkit,呵呵~ 有什么新思路和新角度么?(2007-08-13 12:10)
-
killvxk:引用第10楼wowocock于2007-08-13 08:55发表的 : 控制加载才是王道,其他的都可以被干掉。 ring3也可以控制加载~ 我们正确做一个纯ring3的rootkit,呵呵~(2007-08-13 11:17)
-
wowocock:控制加载才是王道,其他的都可以被干掉。(2007-08-13 08:55)
-
WQXNETQIQI:以后写ark要直接操作VGA的IO,还要进HIGH_LEVEL,清drx......(2007-08-13 00:15)
-
killvxk:引用第7楼zzzevazzz于2007-08-12 20:57发表的 : 拦截是没问题的啦,主要是过滤比较麻烦。 要能准确的消去一行输出才不会露馅。 所以一般都是要针对工具来工作...
(2007-08-12 22:14)
-
zzzevazzz:拦截是没问题的啦,主要是过滤比较麻烦。 要能准确的消去一行输出才不会露馅。(2007-08-12 20:57)
-
killvxk:引用第5楼zzzevazzz于2007-08-11 22:32发表的 : 我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。 P.S. 所以我从来只写命令行工...(2007-08-12 13:56)
-
zzzevazzz:我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。 P.S. 所以我从来只写命令行工具,呵呵。(2007-08-11 22:32)
