-
下面的内容是我亲自分析所得,水平有限,如有错漏还望大家指出。也不知这里面有多少已经成为公开的秘密? IceSword版本:1.20cn 修订号:061022 ---------------------------------------------------- 0. 进...全文
◆
◆
-
wangjianfeng:分析的真好,原理讲的真清楚.拜一个.(2007-05-06 08:36)
-
uuuty:再给说说贝....(2007-04-30 21:51)
-
killvxk:自然不是io port,而是另外的方法~(2007-04-30 21:45)
-
uuuty:io port读硬盘 试了效果还不错 只是不通用....(2007-04-30 21:34)
-
killvxk:disk low i/o 可以完全不走Windows的驱动体系~(2007-04-30 21:30)
-
z.b.Azy:disk low-level i/o bypassing做好的话什么winhex,filereg,rku,rootkitrevealer...统统拿下(2007-04-30 16:47)
-
z.b.Azy:killvxk是一贯走邪恶路线啊,哈哈,俺还是更喜欢做得神不知鬼不觉,装死:)(2007-04-30 16:40)
-
killvxk:还有谁?~ 直接Disk的那个也可以过滤~哼哼哈嘿~ 用更邪恶的~(2007-04-30 12:43)
-
xikug:引用第1楼killvxk于2007-04-30 10:22发表的“”: 对于IS或者DS:: inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式...(2007-04-30 11:17)
-
killvxk:对于IS或者DS:: inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式打开文件在IRP_MJ_CREATE中也做处理~ 对于那个RKU那个玩...(2007-04-30 10:22)
