123456789012的个人空间

qq_10652：Posted:2007-01-22 14:44 这么久的文章都顶上来了(2007-09-19 17:56)

回复

chinaruto：下一个，试试。。。。。。。。。。。 。。。。。 ‘ (2007-09-19 14:42)

回复

wowocock：目前也只有HOOK了,从系统启动就开始监视,看来静态的方法,已经END OF THE ROAD了...... (2007-01-23 17:08)

回复

killvxk：引用第6楼123456789012于2007-01-23 13:57发表的“”: 他们到时候肯定又会说 Only tons of fu*ken Hook 黑猫白猫抓住老鼠就行~~管它什么方法~(2007-01-23 14:28)

回复

123456789012：他们到时候肯定又会说 Only tons of fu*ken Hook (2007-01-23 13:57)

回复

killvxk：引用第4楼WQXNETQIQI于2007-01-23 12:39发表的“”: 这些HOOK XX在俄罗斯大牛牛眼里都不是Detection 过不了就说不是~不算什么本事~(2007-01-23 12:45)

回复

WQXNETQIQI：这些HOOK XX在俄罗斯大牛牛眼里都不是Detection (2007-01-23 12:39)

回复

killvxk：引用第2楼wowocock于2007-01-23 09:12发表的“”: DriverObject对于只做内核操作的来说确实无意义.不过抹掉的话,确实对于检测来说比较困难,不知道有什么好的检测方法,也许在系统驱动起来之前监测可以,不过如何在别人做完所有的处理之后还能无误检测,的确...(2007-01-23 10:28)

回复

wowocock：DriverObject对于只做内核操作的来说确实无意义.不过抹掉的话,确实对于检测来说比较困难,不知道有什么好的检测方法,也许在系统驱动起来之前监测可以,不过如何在别人做完所有的处理之后还能无误检测,的确比较困难. (2007-01-23 09:12)

回复

WQXNETQIQI：驱动就是Attach到c盘所在文件系统device然后过滤对ADS的操作 还有就是擦一下DriverObject(2007-01-22 14:57)

回复