-
供牛人研究,哈哈~
◆
◆
-
qq_10652:
Posted:2007-01-22 14:44
这么久的文章都顶上来了(2007-09-19 17:56)
-
chinaruto:
下一个,试试。。。。。。。。。。。
。。。。。
‘
(2007-09-19 14:42)
-
wowocock:
目前也只有HOOK了,从系统启动就开始监视,看来静态的方法,已经END OF THE ROAD了...... (2007-01-23 17:08)
-
killvxk:
引用第6楼123456789012于2007-01-23 13:57发表的“”:
他们到时候肯定又会说
Only tons of fu*ken Hook
黑猫白猫抓住老鼠就行~~管它什么方法~(2007-01-23 14:28)
-
123456789012:
他们到时候肯定又会说
Only tons of fu*ken Hook (2007-01-23 13:57)
-
killvxk:
引用第4楼WQXNETQIQI于2007-01-23 12:39发表的“”:
这些HOOK XX在俄罗斯大牛牛眼里都不是Detection
过不了就说不是~不算什么本事~(2007-01-23 12:45)
-
WQXNETQIQI:
这些HOOK XX在俄罗斯大牛牛眼里都不是Detection (2007-01-23 12:39)
-
killvxk:
引用第2楼wowocock于2007-01-23 09:12发表的“”:
DriverObject对于只做内核操作的来说确实无意义.不过抹掉的话,确实对于检测来说比较困难,不知道有什么好的检测方法,也许在系统驱动起来之前监测可以,不过如何在别人做完所有的处理之后还能无误检测,的确...(2007-01-23 10:28)
-
wowocock:
DriverObject对于只做内核操作的来说确实无意义.不过抹掉的话,确实对于检测来说比较困难,不知道有什么好的检测方法,也许在系统驱动起来之前监测可以,不过如何在别人做完所有的处理之后还能无误检测,的确比较困难. (2007-01-23 09:12)
-
WQXNETQIQI:
驱动就是Attach到c盘所在文件系统device然后过滤对ADS的操作
还有就是擦一下DriverObject(2007-01-22 14:57)
返回顶部