20楼#
发布于:2007-04-30 10:22
对于IS或者DS::
inline hook ObOpenObjectByName 禁止打开ntos*.exe文件 和已经加载的FSD系统和Tcpip.sys. 另外为了防止ObCreateObject大法式打开文件在IRP_MJ_CREATE中也做处理~ 对于那个RKU那个玩意,直接Zero掉DriverObject和DeviceObject,并断开那些链表。 最后就是KMSE,用ShadowWalker过滤个读比较简单~ |
|
|
上一页
下一页