版块
论坛
喜欢
话题
应用
搜索
登录
注册
z.b.Azy的个人空间
访问量
2
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138333
IceSword&Rootkit Unhooker驱动简析
下面的内容是我亲自分析所得,水平有限,如有错漏还望大家指出。也不知这里面有多少已经成为公开的秘密? IceSword版本:1.20cn 修订号:061022 ---------------------------------------------------- 0. 进...
全文
回复
(
20
)
2007-04-29 22:54
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
devia
:
端口也可以通过shandle的方法来获取
(2007-05-15 09:46)
回复
z.b.Azy
:
Share your old stuff, keep your good stuff.
(2007-05-11 22:31)
回复
qiweixue
:
楼上的几位真是少见的BT行为
俺来凑凑热闹学学习....
(2007-05-11 11:51)
回复
wangjianfeng
:
MINIOS恐怖.
(2007-05-10 09:00)
回复
z.b.Azy
:
还是想知道不走驱动体系的做法,哪位給说说呗....
(2007-05-09 22:55)
回复
znsoft
:
引用第14楼wowocock于2007-05-07 14:54发表的“”: 改下文件系统名称??什么意思??我们实现自己的MINI OS来处理系统,除非你用自己的文件系统,如果是标准的文件系统应该没问题的。当然目前公开的DS版本由于基本垃圾,就没什么好说的了。。。。 老v的意...
(2007-05-07 16:56)
回复
wowocock
:
改下文件系统名称??什么意思??我们实现自己的MINI OS来处理系统,除非你用自己的文件系统,如果是标准的文件系统应该没问题的。当然目前公开的DS版本由于基本垃圾,就没什么好说的了。。。。
(2007-05-07 14:54)
回复
killvxk
:
引用第12楼wowocock于2007-05-07 12:58发表的“”: DS使用内建的文件系统,来读写所有系统文件,应该不受HOOK影响的. 改下文件系统名称,你内建能行么?? 识别不了吧~~哈哈~~
(2007-05-07 14:32)
回复
wowocock
:
引用第1楼killvxk于2007-04-30 10:22发表的“”: 对于IS或者DS:: inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式...
(2007-05-07 12:58)
回复
wowocock
:
不直接IO的话,你少不了要发IRP的或其他数据包的,不管你发给谁,难免不给HOOK,困难啊......
(2007-05-07 12:56)
回复
1
2
下一页 »
z.b.Azy
加关注
写私信
0
关注
0
粉丝
90
帖子
返回顶部