版块
论坛
喜欢
话题
应用
搜索
登录
注册
z.b.Azy的个人空间
访问量
2
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138333
再谈绕过IceSword 1.22文件检测
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =...
全文
回复
(
19
)
2007-07-27 19:21
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
kernel_kernel
:
引用第18楼ljh1021于2007-09-02 13:59发表的 : 我改了不少??? 听这句话,难道kernel_kernel是pjf的马甲?! "我把入口改了不少",是我做的hook试验,把函数入口改了十几个字节,结果是icesw...
(2007-09-02 16:25)
回复
ljh1021
:
引用第9楼kernel_kernel于2007-07-31 23:21发表的 : 有点信口开河的意思,我试过了,恢复可不只几字节,我改了不少。 我改了不少??? 听这句话,难道kernel_kernel是pjf的马甲?!
(2007-09-02 13:59)
回复
ljh1021
:
IofCom???是IofCompleteRequest,KeRaise???是KeRaiseIrqlToDpcLevel吗? 我不明白Azy大虾为什么要这样HOOK,能详细说说原因吗?难道还跟中断级别有关? 我是菜鸟,不知道是int 0e大法和drx大法是什么,能解释一下吗? ...
(2007-09-02 13:51)
回复
killvxk
:
引用第12楼kernel_kernel于2007-08-01 07:54发表的 : 这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西 这一套hook很难有作为了。还是老v的流氓固化听上去不错. 固化其实就是文件感染换了新名字而已~
(2007-08-07 20:32)
回复
vanmin
:
引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 : 看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~ 如果还想再恶心...
(2007-08-03 22:16)
回复
killvxk
:
int 0e大法依然有效~ 而且非常有效~
(2007-08-01 17:54)
回复
kernel_kernel
:
引用第11楼WQXNETQIQI于2007-08-01 00:32发表的 : drx大法依然有效
试过?赶明儿试试
(2007-08-01 07:55)
回复
kernel_kernel
:
引用第10楼vardyh于2007-07-31 23:26发表的 : 变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵 这个...可是别人也可以scan后整个恢复。做流氓软件一般没问题,想做点隐蔽性好的东西 这一套hook很难有作为了。还是老v的流氓固化...
(2007-08-01 07:54)
回复
WQXNETQIQI
:
drx大法依然有效
(2007-08-01 00:32)
回复
vardyh
:
变态的hook可以把整个函数抹掉,还是那句话,看你如何hook了,呵呵
(2007-07-31 23:26)
回复
1
2
下一页 »
z.b.Azy
加关注
写私信
0
关注
0
粉丝
90
帖子
返回顶部