版块
论坛
喜欢
话题
应用
搜索
登录
注册
guaiguaiguan的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=66667
养了几天熊猫,有几分心得
知道最近熊猫比较火爆,赶紧从网上下了一个,美中不足的是熊猫感染的exe文件,无法正常执行。倒是在我的硬盘里面塞了一大堆 desktop_.ini文件,让我不胜其烦。 说实在熊猫采用的技术虽然很一般,但是很有效,要不金山、瑞星、江民的专杀工具的扩展名怎么改扩展名运行。那些...
全文
回复
(
19
)
2007-01-25 20:21
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
guaiguaiguan
:
给段代码瞧瞧,怎么处理的。我总是在hook Win32K.sys代码中keWaitFor*一个事件,如果只是简单返回一个拒绝的操作状态码,不会出问题,但是这个hook函数的确用户上层用户或者上层应用来确认。但是等到KeWait*返回上层应用或者用户应答结果时,这个等待时间可可能是...
(2007-01-27 09:23)
回复
killvxk
:
嘿嘿,那是你们处理的问题~~
(2007-01-26 21:43)
回复
guaiguaiguan
:
Win32K.sys NtUserSetWindowsHook系列函数如果只是拒绝比较简单,但是如果希望停下来和用户交互,可没有那么容易了。由于上下文切换,往往有去无回,等不上上层应用的应答,系统就崩掉了。
(2007-01-26 20:22)
回复
killvxk
:
嘿嘿,我们过滤消息~
(2007-01-26 15:16)
回复
wangjianfeng
:
任何东西都不是绝对的,感染有他的优势,比如现有的ANTI-ROOTKIT虽多只能针对ROOTKIT,可惜熊猫的感染太明显了,文件增大,图标变样,导致大量EXE不可使用. 杀毒软件可以借监AVP,他就HOOK了WIN32 API,过滤了它自己的窗体句柄.
(2007-01-26 14:47)
回复
killvxk
:
很少找到我们的东西的窗体~
(2007-01-26 13:29)
回复
GNiDiA
:
FindWindow(Ex)/PostMessage(WM_QUIT) 终止进程,这方法被病毒用了几年了,居然屡试不爽,杀毒软件怎么没长进呢?
(2007-01-26 10:51)
回复
killvxk
:
这个方法还是不行的~~我挂钩了NtUserXXX级别的玩意~
(2007-01-26 09:09)
回复
wowocock
:
本以为可执行感染没有什么前途了,没想到又死灰复燃了,那些该死的文件过滤控制也不知道去干嘛了.关键还是智能化不够.
(2007-01-26 09:00)
回复
guaiguaiguan
:
多谢WQXNETQIQI,原来是这样干的。怪不得我想尝试通过拦截enumwindows阻止它没有效果,然而使用postmessage反而很有效。跨进程的窗口消息操作都是可疑的。 居然通过这种方式遍历窗口 The FindWindowEx function retrieves a ...
(2007-01-26 08:38)
回复
1
2
下一页 »
guaiguaiguan
加关注
写私信
0
关注
0
粉丝
493
帖子
返回顶部