我觉得加密只会使自己变得繁琐,因为在函数调用之前,.对方不仅可以检查磁盘文件,还可以检查模块还原后的内存空间,不过驱动无论'加了一个如何玄妙的扭曲变换的壳,但是只要它执行的功能依赖操作系统,它就必须老老实实地还原成原来的样子.
  最后拼的结果,将是hook的函数或者入口越来越多,包括wowocock提到的想禁用什么就禁用什么的iocalldriver,如果一个iocalldriver不够用,可以再hook十个八个. 最好把对方调用的函数全部hook上，(包括ExAllocPool IOCreateDevice IoCreateSymbolicLink,，ObReferenceObjectByName，IoAllocateIrp，IoSetCompletionRoutine甚至RtlInitUnicodeString，InitializeObjectAttributes),ssdt出现的函数尽量不要hook，因为更容易暴露，恢复的工作做的再好，也不可能把所有被拦截的函数全部恢复一遍，那样太累了。程序的实现是一系列函数调用的链条，只要有一个函数调用掉了链，功能的实现就会打折扣，筑一道篱笆比较难，拆除一道篱笆相对比较容易，把一件事情搞好，多人的努力未必能够奏效，但是把一件事情告砸，一个人就够了。
  在这些函数的实现中,不必检查入口参数,只需检查调用堆栈,根据调用堆栈的地址,反向追溯上层函数所处的模块,只要是某个模块不想让其使用,直接返回status_access_denied. 可能hook的函数越多，越不稳定，不过做驱动的怕蓝屏，就别碰这根高压线。
    这样就回归到谁最先加载,谁最后退出,谁调用的更底层.被杀者可以攻代守,越来越像360,捕杀者也要防自己被杀,同样可以hook一堆函数.越来越像cnnic, cnnic最好彻底把r3放开，想怎么删除就怎么删除，只需把r0管死，就是不让用驱动程序删。在发现本机没有安装360的情况下，所有的保护都处于屏蔽和休眠状态，用户使用资源管理器就可以删除。最好他们自己单挑，一方把更新通知以及更新程序发给对方，供对方评测和升级使用，对方再开发针对的新版本，再回馈给对方，直到分出胜负，一方俯首称臣为止。

引用第60楼guaiguaiguan于2007-02-13 08:58发表的“”:
我觉得加密只会使自己变得繁琐,因为在函数调用之前,.对方不仅可以检查磁盘文件,还可以检查模块还原后的内存空间,不过驱动无论'加了一个如何玄妙的扭曲变换的壳,但是只要它执行的功能依赖操作系统,它就必须老老实实地还原成原来的样子.
  最后拼的结果,将是hook的函数或者入口越来越多,包括wowocock提到的想禁用什么就禁用什么的iocalldriver,如果一个iocalldriver不够用,可以再hook十个八个. 最好把对方调用的函数全部hook上，(包括ExAllocPool IOCreateDevice IoCreateSymbolicLink,，ObReferenceObjectByName，IoAllocateIrp，IoSetCompletionRoutine甚至RtlInitUnicodeString，InitializeObjectAttributes),ssdt出现的函数尽量不要hook，因为更容易暴露，恢复的工作做的再好，也不可能把所有被拦截的函数全部恢复一遍，那样太累了。程序的实现是一系列函数调用的链条，只要有一个函数调用掉了链，功能的实现就会打折扣，筑一道篱笆比较难，拆除一道篱笆相对比较容易，把一件事情搞好，多人的努力未必能够奏效，但是把一件事情告砸，一个人就够了。
  在这些函数的实现中,不必检查入口参数,只需检查调用堆栈,根据调用堆栈的地址,反向追溯上层函数所处的模块,只要是某个模块不想让其使用,直接返回status_access_denied. 可能hook的函数越多，越不稳定，不过做驱动的怕蓝屏，就别碰这根高压线。
    这样就回归到谁最先加载,谁最后退出,谁调用的更底层.被杀者可以攻代守,越来越像360,捕杀者也要防自己被杀,同样可以hook一堆函数.越来越像cnnic, cnnic最好彻底把r3放开，想怎么删除就怎么删除，只需把r0管死，就是不让用驱动程序删。在发现本机没有安装360的情况下，所有的保护都处于屏蔽和休眠状态，用户使用资源管理器就可以删除。最好他们自己单挑，一方把更新通知以及更新程序发给对方，供对方评测和升级使用，对方再开发针对的新版本，再回馈给对方，直到分出胜负，一方俯首称臣为止。

怎么又说回去了。。。还是互相出招互相拆解的问题。。。。
没什么好说的，胜利永远属于我们

除了HOOK就没什么好方法了吗???

引用第62楼wowocock于2007-02-13 12:20发表的“”:
除了HOOK就没什么好方法了吗???

虚拟运行和结果影响同步真实技术，说白了就是自己代替了系统的pe文件装载器做最后运行的那一步，直接改ntoskrnl.exe文件和hal.dll等实现，给我恢复试试再说吧哥们~

CNNIC下午又放了个新版本，20分钟内就把对抗版本做好放出去了

反应速度快就是硬道理

晕死这个斗下去没完没了~

引用第63楼killvxk于2007-02-13 16:33发表的“”:


虚拟运行和结果影响同步真实技术，说白了就是自己代替了系统的pe文件装载器做最后运行的那一步，直接改ntoskrnl.exe文件和hal.dll等实现，给我恢复试试再说吧哥们~

强啊？可以做VMWare了，展开一下讲讲，我比较笨。

引用第64楼WQXNETQIQI于2007-02-13 17:56发表的“”:
CNNIC下午又放了个新版本，20分钟内就把对抗版本做好放出去了

反应速度快就是硬道理

建议奇虎和CNNIC合并，举行联合军事演习，360safe师团组建红队，cnnic师团成立蓝队，在10000000小时内抢占8848高地。

不过你留心点，没准明天放假前，cnnic会接着升级，这样你的新版本又不好使了。最好邮件通知他们，让他们在程序升级前，第一时间通知你。我还指望大年三十用你的对抗版本杀cnnic呢。

引用第66楼guaiguaiguan于2007-02-14 14:22发表的“”:

强啊？可以做VMWare了，展开一下讲讲，我比较笨。

老板说专利申请下来之前不许对组织外面的人讲详细的东西~~

引用第67楼guaiguaiguan于2007-02-14 14:27发表的“”:

建议奇虎和CNNIC合并，举行联合军事演习，360safe师团组建红队，cnnic师团成立蓝队，在10000000小时内抢占8848高地。

不过你留心点，没准明天放假前，cnnic会接着升级，这样你的新版本又不好使了。最好邮件通知他们，让他们在程序升级前，第一时间通知你。我还指望大年三十用你的对抗版本杀cnnic呢。

刚回家，不管它什么时候更新，最多基本可以在2小时内反应，你就放心吧

都成熟练工了,嘿嘿.....

引用第70楼wowocock于2007-02-14 21:48发表的“”:
都成熟练工了,嘿嘿.....

难道就是传说中的IT熟练民工？

本来是来学驱动的，进了这版一眼瞅见N多。。。还以为走错地方了

大家多向楼主学习啊，经验和代码都拿来分享。
建议牛人大哥些多分享点这些非绝密技术。
毕竟，我觉得看代码才是进步最快的方式，理论和实际之间还有十万八千里的。

以后看来得自己写个简单的类似dos的操作系统，自己些ntfs驱动，然后考入光盘，--杀毒去流氓光盘，叫用户每天放入光驱启动，杀一次才行。
应该任何的流氓软件都没折了吧。。。？

强帖需留名，虽然看不懂。

楼主水平比较牛....

高手

膜拜

膜拜......