-
初学驱动,有很多地方还不明白,请各位朋友指教。加载 rootkit 通常的方法是 ZwSetSystemInformation 和 SCM 吧,这两种方法利弊是什么呢?都说卡巴主动防御对加载驱动监控很严,为什么用 SCM 加载时卡巴没有任何反应(卡巴 6.0.2.621,主动防御...全文
◆
◆
-
aliwy:谢谢啊~~ rootkit 用上面两种方法成功加载后, 是不是就是在 ring0 工作了?(2007-06-30 14:56)
-
WQXNETQIQI:开了注册表监控的话,写注册表肯定会报,除非你的注册表已存在了,你试试其他用SCM的软件也会发现报,比如DbgView,Filemon等等 SCM还算不错吧,呵呵(2007-06-30 13:43)
-
aliwy:感谢楼上的朋友。 既然这两种方法都有问题, 那用什么方法才是正确的? 我卡巴主动防御的所有模块都开启了, 用 SCM 加载时确实没报。 “它只管写SCM的注册表,不管启动驱动服务” 你是指重启电脑后驱动不会运行吗?(2007-06-30 10:33)
-
WQXNETQIQI:zwsetxxxx 2003 sp1,vista下不能用,而且有些限制,比如不能建device scm的,控制服务有一些诡异问题,不方便 卡巴的注册表开了肯定就报 它只管写SCM的注册表,不管启动驱动服务(2007-06-30 10:24)
