(2008-03-11 13:56)-
我做了磁盘过滤驱动 主要是用于还原的但发现机器狗能穿透我的驱动 好像机器狗的都能穿透我是用diskperf来做的大家来讨论下机器狗的原理及其防范的方法!
◆
◆
-
yuanyuan:引用第9楼WQXNETQIQI于2008-03-11 10:10发表的 : 1.拦截必然是有效的,这和得道失道有关 2.监视IO的文章你可以自己找找,不少game protect程序里也有,不过你可能不关注 呵呵 3.那些只会写标准驱动的还原作者可能不会防,也没有防,不代表没有...(2008-03-11 11:32)
-
WQXNETQIQI:http://bbs.driverdevelop.com/htm_data/39/0707/103802.html 我看楼上所称“直接I/O”,才上是只停留在理论阶段吧,止增笑耳(2008-03-11 10:16)
-
WQXNETQIQI:1.拦截必然是有效的,这和得道失道有关 2.监视IO的文章你可以自己找找,不少game protect程序里也有,不过你可能不关注 呵呵 3.那些只会写标准驱动的还原作者可能不会防,也没有防,不代表没有人能防 4.所谓得道,即用户支持,只要网吧业主还把穿还原的恨得牙痒痒,还原穿透...(2008-03-11 10:10)
-
yuanyuan:引用第6楼WQXNETQIQI于2008-03-11 00:35发表的 : 战术上来说,攻防永无止境 战略上来说,得道多助,失道寡助 因此所谓还原穿透,必然只能昙花一现,很快被消灭 10年前有多少病毒?5年前有多少病毒?1年前有多少病毒?何来得道多助?何来失道寡助?
(2008-03-11 01:15)
-
yuanyuan:引用第5楼WQXNETQIQI于2008-03-11 00:30发表的 : 您不知道调试寄存器可以监视I/O吗? 您不知道想要直接I/O需要加载驱动吗? 您不知道加载驱动有无数种手段可以拦截吗?
不要光停留在理论上。
拦截哪个驱动呢?用Blacklist呢?还是Wh...(2008-03-11 01:04)
-
WQXNETQIQI:战术上来说,攻防永无止境 战略上来说,得道多助,失道寡助 因此所谓还原穿透,必然只能昙花一现,很快被消灭(2008-03-11 00:35)
-
WQXNETQIQI:引用第3楼yuanyuan于2008-03-10 23:20发表的 :您不知道磁盘可以直接I/O吗?
您不知道调试寄存器可以监视I/O吗?
您不知道想要直接I/O需要加载驱动吗?
您不知道加载驱动有无数种手段可以拦截吗?(2008-03-11 00:30)
-
zxl250:谢谢大家的回复! 几位有比较好的防范的办法没有呢? hook disk.sys 也可以 但短时间也改不了 我的意思是在目前整样在驱动里防住呢?(2008-03-10 23:43)
-
yuanyuan:引用第2楼WQXNETQIQI于2008-03-10 22:07发表的 : 魔高一尺,道高一丈,楼上得意的日子不长了 我教楼主一招:把你的改成Disk.sys的dispatch hook,什么破机器狗,完全不怕~您不知道磁盘可以直接I/O吗?(2008-03-10 23:20)
