-
我的email:yongri3@163.com
◆
◆
-
killvxk:
经典重定位(2007-04-10 12:16)
-
wowocock:
引用第20楼zhouhongyun于2007-04-10 01:42发表的“”:
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,不要用核心线程或WORK ITEM,最好由KOH来获得执行
-----内存镜象的数据段内容需要做修正吧
如果你...(2007-04-10 12:05)
-
zhouhongyun:
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,不要用核心线程或WORK ITEM,最好由KOH来获得执行
-----内存镜象的数据段内容需要做修正吧(2007-04-10 01:42)
-
lazydog:
反编译一下is就知道,太容易过了,N种方法,不过都不好公布,一说出去马上就被堵住了(2007-01-28 19:55)
-
WQXNETQIQI:
引用第17楼wowocock于2007-01-26 19:18发表的“”:
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,最好由KOH来获得执行,不要用KEDELAY..,KEWAIT==,否则,还是可以被查到,以前和那2个俄罗斯家伙PK...(2007-01-26 19:20)
-
wowocock:
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,不要用核心线程或WORK ITEM,最好由KOH来获得执行,不要用KEDELAY..,KEWAIT==,否则,还是可以被查到,以前和那2个俄罗斯家伙PK,就干过,让他们的RKUNHOOK也郁闷...(2007-01-26 19:18)
-
cardmagic:
引用第9楼bizhan123于2007-01-23 09:27发表的“”:
DRIVEROBJECT和eprocess分别能抹到什么程度呢?
这取决于你想用到它的程度(2007-01-26 15:32)
-
yykingking:
引用第7楼kakaba于2007-01-22 21:06发表的“”:
试过才回帖的嘛。因为system check的显示结果是pid=0,所以猜测你是清除了一些
eprocess特征来欺骗前面的process栏。猜错莫怪。
其实用清除eprocess特征法可以骗过了很多软件,...(2007-01-23 10:36)
-
killvxk:
即使如此还是可以查的哈~,内存特征码搜索看看是不是被感染就行了~嘿嘿~
另外可能有SectionObject与我们的驱动文件关联,这个也许得擦~~反正你想出一个方法,别人就想出2种方法检查~(2007-01-23 10:10)
-
killvxk:
引用第12楼bizhan123于2007-01-23 09:54发表的“”:
那如果这样的话,怎么去发现呢?感觉太BT了。
反正我的drv功能通过sysentry来使用~用KeAddXXX注册了很多调用~
DRVOBJECT里的东西基本擦掉,DriverObject的那...(2007-01-23 10:07)
返回顶部