版块
论坛
喜欢
话题
应用
搜索
登录
注册
z.b.Azy的个人空间
访问量
2
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138333
再谈绕过IceSword 1.22文件检测
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =...
全文
回复
(
19
)
2007-07-27 19:21
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
kernel_kernel
:
引用第8楼vardyh于2007-07-31 22:26发表的 : 那要看你是如何 hook 的, 像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的恢复是非常不安全的, 且不说有些安全软件的钩子是不是...
(2007-07-31 23:21)
回复
vardyh
:
引用第7楼z.b.Azy于2007-07-31 13:09发表的 : 此言极是。。。如果继续下去路只会越来越窄。。。。 那要看你是如何 hook 的, 像 icesword 之流的东西,上来就不管不顾的把钩子乱恢复一通,(起码早期的版本是这样,新版的我没兴趣分析了),这样的...
(2007-07-31 22:26)
回复
z.b.Azy
:
引用第6楼wowocock于2007-07-30 23:13发表的 : HOOK是毒瘤。。。。。。 此言极是。。。如果继续下去路只会越来越窄。。。。
(2007-07-31 13:09)
回复
wowocock
:
HOOK是毒瘤。。。。。。
(2007-07-30 23:13)
回复
killvxk
:
绕过方法很多最好在系统处理irp的必经之路上下手~
(2007-07-30 20:57)
回复
wowocock
:
引用第3楼WQXNETQIQI于2007-07-27 22:15发表的 : int 0e大法试试
稳定性不能保证。。。。。。
(2007-07-30 12:34)
回复
WQXNETQIQI
:
int 0e大法试试
(2007-07-27 22:15)
回复
z.b.Azy
:
引用第1楼violin于2007-07-27 19:34发表的 : 一般不需要知道谁hook,恢复hook就行了。 这类hook感觉意义不大,它就像一个"我是流氓"的标签一样,有谁搞点有创意的~~~ 只是一种可行的方法, 期待大牛们的创意~~~
(2007-07-27 19:48)
回复
violin
:
引用第0楼z.b.Azy于2007-07-27 19:21发表的 再谈绕过IceSword 1.22文件检测 : 看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~ 如果还想再恶心...
(2007-07-27 19:34)
回复
« 上一页
1
2
z.b.Azy
加关注
写私信
0
关注
0
粉丝
90
帖子
返回顶部