版块
论坛
喜欢
话题
应用
搜索
登录
注册
tttt__tttt的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=138935
如何搞定这个anti-softice
某个病毒利用了这种anti-softice技术:1.hook idt1_handler,即在idt1_handler里面加入jmp hook_handler的指令2.把idt1_handler的地址放在dr0里,并置dr7相应的位3.访问idt1_handler,产生对idt...
全文
回复
(
5
)
2007-02-19 02:25
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
tttt__tttt
:
@xikug,静态分析肯定可以,但是我还想patch softice,不明白为什么只有顶层的softice handler不能被hook,所有下层被hook的handler能继续被hook,难道是softice的bug? @wowocock,你说的是bypass EPA的方法么...
(2007-02-22 23:02)
回复
wowocock
:
参考我以前的绕过DR0保护直接通过物理地址访问内存的方法,来绕过DRX寄存器的保护,嘿嘿.....
(2007-02-20 20:13)
回复
xikug
:
不是patch softice。。。 patch目标程序不行? 把handler记下来,手动解码。。。
(2007-02-20 13:02)
回复
tttt__tttt
:
这里我不太明白:如果没有加载softice这里可以正常执行,说明windows自己的handler里没有对中断产生地址再一次访问的指令,相反softice hook的handler却有这样的指令因此引起中断嵌套引起BS <- 这点呢,这里我不太明白 直接patch不行,因...
(2007-02-20 11:06)
回复
xikug
:
仅此而已?是否还有seh等陷阱?drx是否会参与解码之类的运算?如果就这么简单的话试试直接patch
(2007-02-19 20:25)
回复
tttt__tttt
加关注
写私信
0
关注
0
粉丝
5
帖子
返回顶部