20楼#
发布于:2005-01-19 20:39
search in this bbs |
|
|
21楼#
发布于:2005-01-20 10:40
hook int 13h,不能防止磁盘I/O破坏,wowocock的方法,其实是采用单步中断,一个一个指令分析,将破坏磁盘的i/o指令过滤掉,这招够狠,但如果有人把Int 1替换,这招又失效了,建议再hook int 8,9,随时检查这些中断,发现异常,立即修正回来。但最好是不让任何外来东西修改这些重要地方,即所有进入ring 0的程序都得单步分析,过滤,似乎有点人工智能的味道了,不能往下说了
|
|
|
22楼#
发布于:2005-01-26 11:17
最毒的一招:把所有要写磁盘的程序从电脑里删掉。
|
|
|
23楼#
发布于:2005-01-26 11:27
最毒的一招:把所有要写磁盘的程序从电脑里删掉。 最安全的为A1级安全 电脑锁在一个无人知道的密室中,并且没有上电。这个密室的钥匙只有一把,而知道这个钥匙在哪里的人,100年前就已经死了 |
|
|
24楼#
发布于:2005-06-21 13:41
磁盘过滤驱动可以拦截到的,还原卡基本上都是这个原理
|
|
上一页
下一页