版块
论坛
喜欢
话题
应用
搜索
登录
注册
z.b.Azy的个人空间
访问量
2
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138333
IceSword&Rootkit Unhooker驱动简析
下面的内容是我亲自分析所得,水平有限,如有错漏还望大家指出。也不知这里面有多少已经成为公开的秘密? IceSword版本:1.20cn 修订号:061022 ---------------------------------------------------- 0. 进...
全文
回复
(
20
)
2007-04-29 22:54
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
wangjianfeng
:
分析的真好,原理讲的真清楚.拜一个.
(2007-05-06 08:36)
回复
uuuty
:
再给说说贝....
(2007-04-30 21:51)
回复
killvxk
:
自然不是io port,而是另外的方法~
(2007-04-30 21:45)
回复
uuuty
:
io port读硬盘 试了效果还不错 只是不通用....
(2007-04-30 21:34)
回复
killvxk
:
disk low i/o 可以完全不走Windows的驱动体系~
(2007-04-30 21:30)
回复
z.b.Azy
:
disk low-level i/o bypassing做好的话什么winhex,filereg,rku,rootkitrevealer...统统拿下
(2007-04-30 16:47)
回复
z.b.Azy
:
killvxk是一贯走邪恶路线啊,哈哈,俺还是更喜欢做得神不知鬼不觉,装死:)
(2007-04-30 16:40)
回复
killvxk
:
还有谁?~ 直接Disk的那个也可以过滤~哼哼哈嘿~ 用更邪恶的~
(2007-04-30 12:43)
回复
xikug
:
引用第1楼killvxk于2007-04-30 10:22发表的“”: 对于IS或者DS:: inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式...
(2007-04-30 11:17)
回复
killvxk
:
对于IS或者DS:: inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式打开文件在IRP_MJ_CREATE中也做处理~ 对于那个RKU那个玩...
(2007-04-30 10:22)
回复
« 上一页
1
2
z.b.Azy
加关注
写私信
0
关注
0
粉丝
90
帖子
返回顶部