版块
论坛
喜欢
话题
应用
搜索
登录
注册
zxl250的个人空间
访问量
4
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=182981
救命!磁盘过滤被穿透了
我做了磁盘过滤驱动 主要是用于还原的但发现机器狗能穿透我的驱动 好像机器狗的都能穿透我是用diskperf来做的大家来讨论下机器狗的原理及其防范的方法!
回复
(
42
)
2008-03-10 20:07
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
WQXNETQIQI
:
在说别人停留在理论前,我建议楼上把你的 通用的 直接I/O穿透还原的拿出来瞧瞧
(2008-03-11 13:56)
回复
yuanyuan
:
引用第9楼WQXNETQIQI于2008-03-11 10:10发表的 : 1.拦截必然是有效的,这和得道失道有关 2.监视IO的文章你可以自己找找,不少game protect程序里也有,不过你可能不关注 呵呵 3.那些只会写标准驱动的还原作者可能不会防,也没有防,不代表没有...
(2008-03-11 11:32)
回复
WQXNETQIQI
:
http://bbs.driverdevelop.com/htm_data/39/0707/103802.html
我看楼上所称“直接I/O”,才上是只停留在理论阶段吧,止增笑耳
(2008-03-11 10:16)
回复
WQXNETQIQI
:
1.拦截必然是有效的,这和得道失道有关 2.监视IO的文章你可以自己找找,不少game protect程序里也有,不过你可能不关注 呵呵 3.那些只会写标准驱动的还原作者可能不会防,也没有防,不代表没有人能防 4.所谓得道,即用户支持,只要网吧业主还把穿还原的恨得牙痒痒,还原穿透...
(2008-03-11 10:10)
回复
yuanyuan
:
引用第6楼WQXNETQIQI于2008-03-11 00:35发表的 : 战术上来说,攻防永无止境 战略上来说,得道多助,失道寡助 因此所谓还原穿透,必然只能昙花一现,很快被消灭 10年前有多少病毒?5年前有多少病毒?1年前有多少病毒?何来得道多助?何来失道寡助?
(2008-03-11 01:15)
回复
yuanyuan
:
引用第5楼WQXNETQIQI于2008-03-11 00:30发表的 : 您不知道调试寄存器可以监视I/O吗? 您不知道想要直接I/O需要加载驱动吗? 您不知道加载驱动有无数种手段可以拦截吗?
不要光停留在理论上。 拦截哪个驱动呢?用Blacklist呢?还是Wh...
(2008-03-11 01:04)
回复
WQXNETQIQI
:
战术上来说,攻防永无止境 战略上来说,得道多助,失道寡助 因此所谓还原穿透,必然只能昙花一现,很快被消灭
(2008-03-11 00:35)
回复
WQXNETQIQI
:
引用第3楼yuanyuan于2008-03-10 23:20发表的 :
您不知道磁盘可以直接I/O吗? 您不知道调试寄存器可以监视I/O吗? 您不知道想要直接I/O需要加载驱动吗? 您不知道加载驱动有无数种手段可以拦截吗?
(2008-03-11 00:30)
回复
zxl250
:
谢谢大家的回复! 几位有比较好的防范的办法没有呢? hook disk.sys 也可以 但短时间也改不了 我的意思是在目前整样在驱动里防住呢?
(2008-03-10 23:43)
回复
yuanyuan
:
引用第2楼WQXNETQIQI于2008-03-10 22:07发表的 : 魔高一尺,道高一丈,楼上得意的日子不长了 我教楼主一招:把你的改成Disk.sys的dispatch hook,什么破机器狗,完全不怕~
您不知道磁盘可以直接I/O吗?
(2008-03-10 23:20)
回复
« 上一页
1
2
3
4
5
下一页 »
zxl250
加关注
写私信
0
关注
2
粉丝
66
帖子
返回顶部