版块
论坛
喜欢
话题
应用
搜索
登录
注册
WQXNETQIQI的个人空间
访问量
14
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=149454
绕过现代Anti-Rookit工具的内核模块扫描
绕过现代Anti-Rookit工具的内核模块扫描(Bypass modern anti-rootkit tools's kernel mode scan)MJ0011
th_decoder@126....
全文
回复
(
18
)
2007-10-24 02:05
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
chinaruto
:
还是中国人强呀。。。。
(2007-10-24 11:28)
回复
koyota
:
引用第2楼wowocock于2007-10-24 08:23发表的 : 建议大家使用支持X64的CPU ,并打开内存执行保护,然后搜索所有可执行内存,(好点的话先HOOK内存分配和释放函数,然后对所有已分配未释放的内存扫描)如果不在允许范围内就XXXX,估计以后CPU厂商也可以...
(2007-10-24 09:52)
回复
boywhp
:
O,那正轨道路是什么呢?
(2007-10-24 09:29)
回复
wowocock
:
我认为如果学习系统安全最好走正规道路,因为随着X64VISTA的发布,驱动签名加载和PATCHGUARD将会封杀大多技术方法,别看现在好像很多人在试图破坏MS的防御机制,可我认为将会很困难,特别是结合硬件级保护技术,MS也说了将把保护移入VMM中,我研究了一下,觉得一旦被系统掌控...
(2007-10-24 08:59)
回复
boywhp
:
可恶的wowoowowowowowowwocock 哈哈,发一个邮件给我吧
boywhp@126.com
我想要一个学习内核的书单,不然感觉比较茫然啊,方向是系统安全
(2007-10-24 08:26)
回复
boywhp
:
谢谢诶MJ 大哥
(2007-10-24 08:24)
回复
wowocock
:
建议大家使用支持X64的CPU ,并打开内存执行保护,然后搜索所有可执行内存,(好点的话先HOOK内存分配和释放函数,然后对所有已分配未释放的内存扫描)如果不在允许范围内就XXXX,估计以后CPU厂商也可以拿这个作为内存防毒宣传的噱头了,哈哈。。。。。。,考虑以后在32位OS的新...
(2007-10-24 08:23)
回复
xyzreg
:
顶下MJ同学,我也弄回沙发坐坐~
错字啊,饶过?绕过! 一字之差,意思甚远~
(2007-10-24 04:42)
回复
« 上一页
1
2
WQXNETQIQI
加关注
写私信
0
关注
0
粉丝
962
帖子
返回顶部