20楼#
发布于:2007-01-13 21:32
引用第12楼xyzreg于2007-01-13 21:01发表的“”: 我知道,不过骗骗小孩子还是好的 IS那套玩意太邪恶了~ |
|
|
21楼#
发布于:2007-01-13 21:01
引用第11楼killvxk于2007-01-13 20:46发表的“”: 仅从peb的ldr里摘除dll是过不了IceSword的DLL模块枚举的~ |
|
22楼#
发布于:2007-01-13 20:46
说说我的一个木马设计方案
1.建立CreateProcessNotifyRoutine/ImageLoadNotifyRoutine(这个可以直接作dll插入了哈~),检测到userinit.exe加载后就从自己的内存释放vxk.exe修改注册Run项目,以启动vxk.exe,vxk.exe启动后会删除自己的RUN项目,并注入Vxk.dll,删除文件vxk.dll,vxk.exe,导致启动后无法发现其启动项目 2.从内存的HIVE结构中remove掉vxk.sys的服务项(KDOM) 3.HOOK DISK READ 隐藏vxk.sys 4.把自己从object Dir和pspLoadedmodulelist摘除,查找typelist链摘除自己,以搜索DriverObjectType方式搜索内存凡是找到自己的DRiverobject的地方直接用fake出来的Drvobject来代替~ 5.DLL注入后,将自身从peb的ldr表中摘除 |
|
|
23楼#
发布于:2007-01-13 20:21
嘿嘿,这个貌似不流氓就是把现有的技术融合起来而已~~
嘿嘿~ |
|
|
24楼#
发布于:2007-01-10 19:44
这个流氓里还有个stdie.dll,好象是个proxy又象是个downloader,也可能啥都不是
|
|
驱动小牛
|
25楼#
发布于:2007-01-10 19:27
太流氓了.
|
26楼#
发布于:2007-01-08 22:57
"我所有机器上" ~ 晕~
在我所有机器上都正常~ :) 不过 cpu100的原因已经知道,后面版本会修正的. |
|
|
27楼#
发布于:2007-01-08 17:04
发个我的
|
|
28楼#
发布于:2007-01-08 15:05
DARKSPY确实很佩服的 ,在我这必须把SSM卸了才行的,不然也是CPU100%的
|
|
29楼#
发布于:2007-01-08 14:13
DARKSPY则是在我所有机器上都会CPU 100%死掉或直接BSOD
|
|
|
30楼#
发布于:2007-01-08 11:04
看来所有方法对DARKSPY都没用,也算是个失败的东西.除了系统登陆后加载任何位置的driver都会失败.
|
|
|
31楼#
发布于:2007-01-08 10:03
在查找PsLoadedModuleList的那个sub里
.text:00011578 mov eax, 0FFDFF034h ; _KPCR.KdVersionBlock .text:0001157D mov eax, [eax] ; KdVersionBlock .text:0001157F mov eax, [eax+70h] ; ???? KdVersionBlock的结构_DBGKD_GET_VERSION64不是只有13 elements, 0x28 bytes吗? 怎么这里70h处也是PsLoadedModuleList?我在kd里察看也的确是的 |
|
32楼#
发布于:2007-01-07 16:29
还是你分析得比较好呀
|
|
上一页
下一页