-
测试版本:影子系统2008个人版驱动版本:3.1.11.8写的很简陋,可以在单影子或全影子下测试,加载后仅破坏掉影子的驱动文件(修改映象前几字节),重启见效果。没什么技术含量,大家不要反 :) 如果测试请事先备份snpshot.sys,重启后系统会蓝掉,为了验证穿透,可在dos下... 全文
2008-01-14 21:10 来自版块 - 反流氓、反木马和rootkit
-
NTLDR Reverse Engineering原始地址:http://www.reteam.org/board/index.php?showtopic=351&st=0&p=1302&#entry1302翻译:Rinrin ntldr分为两部分,... 全文
2007-09-19 14:24 来自版块 - windows 源码解读
-
3D cards are just GREAT, period. When you're installing such a card inyour computer, you're not just plugging a device that c... 全文
2007-08-03 14:21 来自版块 - 反流氓、反木马和rootkit
-
看了下,驱动中对IofCom???做了处理,于是想到了先Hook住KeRaise???函数,在其中再去Hook IofC???函数,果然起作用了~~如果还想再恶心一点,先分配一块非分页内存,然后把HOOK函数拷过去,做好重定位,这样IS就显示不出是谁Hook的了(RKU也是) =... 全文
2007-07-27 19:21 来自版块 - 反流氓、反木马和rootkit
-
该rk样本我只把文件隐藏的部分拿出来了,仅做为技术交流使用,驱动中绝对不含有恶意代码,该驱动只是隐藏它自己的文件而已。由于水平有限,可能有bug。
2007-05-19 13:30 来自版块 - 反流氓、反木马和rootkit
-
下面的内容是我亲自分析所得,水平有限,如有错漏还望大家指出。也不知这里面有多少已经成为公开的秘密? IceSword版本:1.20cn 修订号:061022 ---------------------------------------------------- 0. 进... 全文
2007-04-29 22:54 来自版块 - 反流氓、反木马和rootkit
-
对于进程检测来说就是要尽可能枚举全系统内所有EPROCESS对象的指针。IceSword120_cn设了4道障碍来阻止及发现隐藏进程:1. 先调用ExEnumHandleTable函数枚举PspCidTable句柄表中所有进程对象的指针,将指针结合放到一个缓冲区中。2. 调用... 全文
2007-04-14 11:06 来自版块 - 反流氓、反木马和rootkit
