-
RK部分一共三个文件VideoAti0.sysVideoAti0.dllVideoAti0.exe驱动部分是BOOT0的,主要干了这么些事:1.建立CreateProcessNotifyRoutine,检测到userinit.exe加载后就修改注册Run项目,以启动VideoAt...全文
◆
◆
-
xlbr:附件失效了,哪位请重发一份,谢谢。(2011-10-10 17:38)
-
formytest:谁有样本,提供给小弟研究研究,不甚感激!(2007-07-27 16:34)
-
WINMAX:谁能有偿提供类似u88财富快车的源代码吗?(2007-04-23 08:38)
-
devia:引用第3楼wowocock于2007-01-08 11:04发表的“”: 看来所有方法对DARKSPY都没用,也算是个失败的东西.除了系统登陆后加载任何位置的driver都会失败. DARKSPY太不稳定了,动不动就死机!(2007-02-24 19:57)
-
WQXNETQIQI:呵呵 驱动都起来了,还有什么不能干?完全可以把别人的NotifyRoutine全摘了。就留下自己的
,结果又变成无聊的抢启动顺序了
patch一是不稳定,二是比较XX,,,不过wow貌似很喜欢patch:D(2007-02-05 23:51)
-
guaiguaiguan:引用第11楼killvxk于2007-01-13 20:46发表的“”: 说说我的一个木马设计方案 1.建立CreateProcessNotifyRoutine/ImageLoadNotifyRoutine(这个可以直接作dll插入了哈~),检测到userinit.exe加载后就...(2007-02-05 21:51)
-
WQXNETQIQI:引用第22楼guaiguaiguan于2007-02-05 17:33发表的“”: 我觉得未必,patch坏人有针对性,与平台无关,当然坏人多了,就会缺乏通用性。patch坏人和patch 系统方法是一样的,都是内存修补。但后者需要考虑SP版本的变化。 坏人总是有猥亵的办法,...(2007-02-05 18:18)
-
linestyle:引用第23楼wowocock于2007-02-05 17:45发表的“”: 拼加载顺序永远是最有意义的,不过你们的思维都被局限了,为什么不反过来考虑呢,嘿嘿......
不过拼关机顺序,有时候会出问题,呵呵(2007-02-05 17:59)
