(2007-10-24 11:28)-
绕过现代Anti-Rookit工具的内核模块扫描(Bypass modern anti-rootkit tools's kernel mode scan)MJ0011th_decoder@126....全文
◆
◆
-
koyota:引用第2楼wowocock于2007-10-24 08:23发表的 : 建议大家使用支持X64的CPU ,并打开内存执行保护,然后搜索所有可执行内存,(好点的话先HOOK内存分配和释放函数,然后对所有已分配未释放的内存扫描)如果不在允许范围内就XXXX,估计以后CPU厂商也可以...(2007-10-24 09:52)
-
boywhp:O,那正轨道路是什么呢?(2007-10-24 09:29)
-
wowocock:我认为如果学习系统安全最好走正规道路,因为随着X64VISTA的发布,驱动签名加载和PATCHGUARD将会封杀大多技术方法,别看现在好像很多人在试图破坏MS的防御机制,可我认为将会很困难,特别是结合硬件级保护技术,MS也说了将把保护移入VMM中,我研究了一下,觉得一旦被系统掌控...(2007-10-24 08:59)
-
boywhp:可恶的wowoowowowowowowwocock 哈哈,发一个邮件给我吧boywhp@126.com 我想要一个学习内核的书单,不然感觉比较茫然啊,方向是系统安全(2007-10-24 08:26)
-
boywhp:谢谢诶MJ 大哥(2007-10-24 08:24)
-
wowocock:建议大家使用支持X64的CPU ,并打开内存执行保护,然后搜索所有可执行内存,(好点的话先HOOK内存分配和释放函数,然后对所有已分配未释放的内存扫描)如果不在允许范围内就XXXX,估计以后CPU厂商也可以拿这个作为内存防毒宣传的噱头了,哈哈。。。。。。,考虑以后在32位OS的新...(2007-10-24 08:23)
错字啊,饶过?绕过! 一字之差,意思甚远~ 
