版块
论坛
喜欢
话题
应用
搜索
登录
注册
killvxk的个人空间
访问量
25
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=120115
一种新的隐藏思路——SteelKernelGroup
其实这并不是一种真正意义上的隐藏,而是一种器欺骗用户眼睛的方式。很多anti rootkit/rootkit detector在显示进程、文件、注册表,端口等时都使用listbox或者listctrl,因此如果对控件本身进行修改(某文件)或者劫持控件消息,就可以轻易的对特定的项...
全文
回复
(
13
)
2007-08-11 12:15
来自版块 -
特洛伊之木马故乡
◆
◆
表情
告诉我的粉丝
提 交
killvxk
:
引用第12楼z.b.Azy于2007-08-13 12:10发表的 : 有什么新思路和新角度么? 商业化,不求那些新xxx 求实用!
(2007-08-13 15:04)
回复
z.b.Azy
:
引用第11楼killvxk于2007-08-13 11:17发表的 : ring3也可以控制加载~ 我们正确做一个纯ring3的rootkit,呵呵~ 有什么新思路和新角度么?
(2007-08-13 12:10)
回复
killvxk
:
引用第10楼wowocock于2007-08-13 08:55发表的 : 控制加载才是王道,其他的都可以被干掉。 ring3也可以控制加载~ 我们正确做一个纯ring3的rootkit,呵呵~
(2007-08-13 11:17)
回复
wowocock
:
控制加载才是王道,其他的都可以被干掉。
(2007-08-13 08:55)
回复
WQXNETQIQI
:
以后写ark要直接操作VGA的IO,还要进HIGH_LEVEL,清drx......
(2007-08-13 00:15)
回复
killvxk
:
引用第7楼zzzevazzz于2007-08-12 20:57发表的 : 拦截是没问题的啦,主要是过滤比较麻烦。 要能准确的消去一行输出才不会露馅。 所以一般都是要针对工具来工作...
(2007-08-12 22:14)
回复
zzzevazzz
:
拦截是没问题的啦,主要是过滤比较麻烦。 要能准确的消去一行输出才不会露馅。
(2007-08-12 20:57)
回复
killvxk
:
引用第5楼zzzevazzz于2007-08-11 22:32发表的 : 我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。 P.S. 所以我从来只写命令行工...
(2007-08-12 13:56)
回复
zzzevazzz
:
我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。 P.S. 所以我从来只写命令行工具,呵呵。
(2007-08-11 22:32)
回复
WQXNETQIQI
:
三个猥亵男人集合
(2007-08-11 18:16)
回复
1
2
下一页 »
killvxk
加关注
写私信
1
关注
3
粉丝
1799
帖子
返回顶部