版块
论坛
喜欢
话题
应用
搜索
登录
注册
z.b.Azy的个人空间
访问量
2
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138333
由如何绕过IS进程检测说起
对于进程检测来说就是要尽可能枚举全系统内所有EPROCESS对象的指针。IceSword120_cn设了4道障碍来阻止及发现隐藏进程:1. 先调用ExEnumHandleTable函数枚举PspCidTable句柄表中所有进程对象的指针,将指针结合放到一个缓冲区中。2. 调用...
全文
回复
(
19
)
2007-04-14 11:06
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
alphetwx
:
不懂硬编码~~~我才学写驱动,不过我觉得pspTerminateProcess好象很厉害的样子 想知道一下而已啊,不要说我写流氓软件嘛,我不是坏人来的……
(2007-05-14 14:12)
回复
firabc
:
引用第16楼alphetwx于2007-05-12 21:59发表的“”: 躲有什么用呢???直接结束IceSword就算了,躲不起了,就杀吧!!!! 呵呵~~ 怎样可以关掉IceSword啊??请教各位牛人~~~pspTerminateProcess现在还有用吗? psp...
(2007-05-12 23:25)
回复
z.b.Azy
:
你是写流氓还是写rk啊,流氓的做法估计会让anti的作者们鄙视的
(2007-05-12 22:19)
回复
alphetwx
:
躲有什么用呢???直接结束IceSword就算了,躲不起了,就杀吧!!!! 呵呵~~ 怎样可以关掉IceSword啊??请教各位牛人~~~pspTerminateProcess现在还有用吗?
(2007-05-12 21:59)
回复
flying2008
:
引用第14楼killvxk于2007-04-30 10:37发表的“”: .... 要判断有效性~ 多谢大牛:)
(2007-04-30 11:21)
回复
killvxk
:
.... 要判断有效性~
(2007-04-30 10:37)
回复
flying2008
:
"4. 从0x81000030-0x8116xxxx之间搜索EPROCESS结构指针。" 该如何扫描内存? 我做了一个暴力搜索,结果蓝屏,比如:0x81277656 地址处为<???>(这是什么意思),觉得该地址不会没有内容吧
(2007-04-29 22:14)
回复
cardmagic
:
引用第10楼kernel_kernel于2007-04-24 10:43发表的“”: 早试过了,不是可能有问题,是肯定有问题。像2000涂掉pid就崩 这个也不定 要看情况
(2007-04-29 10:21)
回复
z.b.Azy
:
恩,崩溃确实很有可能,我也只是在xp sp2下试过,代码是在fu上加的, pid赋的0xffffffff
(2007-04-24 15:22)
回复
kernel_kernel
:
引用第9楼cardmagic于2007-04-24 10:02发表的“”: 这种涂改可能会有问题,我在机器上改了notepad后,系统崩溃。(我机器上只装了TrendMicro Officescan)
早试过了,不是可能有问题,是肯定有问题。像2000涂掉pid就崩
(2007-04-24 10:43)
回复
1
2
下一页 »
z.b.Azy
加关注
写私信
0
关注
0
粉丝
90
帖子
返回顶部