Windows的中

escape 驱动老牛注册日期2002-02-01 最后登录2004-08-20 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	阅读：3097回复：47 Windows的中楼主^# 更多只看楼主倒序阅读发布于：2002-04-22 15:45
	喜欢1 最新喜欢： flyfox 回复

Nouk

驱动中牛

注册日期2001-08-22
最后登录2006-10-22
粉丝0
关注0
积分0分
威望0点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2002-04-22 16:27

Of course,I think.
If the virus in user mode, it can infect files,too.

Taiwan's Driver Developer

回复喜欢

pjf 驱动中牛注册日期2001-07-08 最后登录2006-10-23 粉丝0 关注0 积分42分威望4点贡献值0点好评度4点原创分0分专家分0分加关注写私信	板凳^# 发布于：2002-04-22 16:27 Of course.
	回复(0) 喜欢(0)

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2002-04-22 16:29

faint！
兄弟，现在大多数病毒都直接调用API，哪有什么中断？这不是DOS时代

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

escape 驱动老牛注册日期2002-02-01 最后登录2004-08-20 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2002-04-22 16:32 病毒通咿哪
	回复(0) 喜欢(0)

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2002-04-22 16:36

[quote]病毒通咿哪

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

pjf 驱动中牛注册日期2001-07-08 最后登录2006-10-23 粉丝0 关注0 积分42分威望4点贡献值0点好评度4点原创分0分专家分0分加关注写私信	6楼^# 发布于：2002-04-22 16:37 Of course. 很少的Win32病毒（CIH等）用到了中断
	回复(0) 喜欢(0)

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2002-04-22 16:38

Of course.
很少的Win32病毒（CIH等）用到了中断

faint！
那也没用到
它是hook了IFS

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

escape 驱动老牛注册日期2002-02-01 最后登录2004-08-20 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	8楼^# 发布于：2002-04-22 16:39 faint！兄弟，现在大多数病毒都直接调用API，哪有什么中断？这不是DOS时代我只想
	回复(0) 喜欢(0)

Nouk

驱动中牛

注册日期2001-08-22
最后登录2006-10-22
粉丝0
关注0
积分0分
威望0点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

9楼^#

发布于：2002-04-22 16:40

[quote]Of course.
很少的Win32病毒（CIH等）用到了中断

faint！
那也没用到
它是hook了IFS [/quote]
Yes, it\'s Ring0 App.

Taiwan's Driver Developer

回复喜欢

escape 驱动老牛注册日期2002-02-01 最后登录2004-08-20 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	10楼^# 发布于：2002-04-22 16:42 faint！大致是做为一个线程或进程吧。兄弟，你想写病毒吗？好像要想揠法硬藏, 有何揠法?
	回复(0) 喜欢(0)

Nouk

驱动中牛

注册日期2001-08-22
最后登录2006-10-22
粉丝0
关注0
积分0分
威望0点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

11楼^#

发布于：2002-04-22 16:43

[quote]faint！
兄弟，现在大多数病毒都直接调用API，哪有什么中断？这不是DOS时代

我只想

Taiwan's Driver Developer

回复喜欢

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

12楼^#

发布于：2002-04-22 16:45

faint！
兄弟你还是自己偷偷摸摸上网找些病毒代码来研究一下吧。别公开讨论病毒了，挺不爽的。

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

escape 驱动老牛注册日期2002-02-01 最后登录2004-08-20 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	13楼^# 发布于：2002-04-22 16:49 faint！兄弟你还是自己偷偷摸摸上网找些病毒代码来研究一下吧。别公开讨论病毒了，挺不爽的。我想了解一下Windows的
	回复(0) 喜欢(0)

pjf

驱动中牛

注册日期2001-07-08
最后登录2006-10-23
粉丝0
关注0
积分42分
威望4点
贡献值0点
好评度4点
原创分0分
专家分0分

加关注写私信

14楼^#

发布于：2002-04-22 16:52

9x上可用中断获取Ring0特权，再将自己copy入核心内存从而常驻内存；NT/2000上一样，不过要用上驱动或其他手续（本站有介绍）。
不用中断/调用门的话，你可在学FunLove：注册一后台进程（9x）；写一服务（nt/2000）。在nt/2000上，你也可在Explorer进程中创一远线程（运行自己的代码）.等等，方法n多

回复喜欢

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

15楼^#

发布于：2002-04-22 16:55

9x上可用中断获取Ring0特权，再将自己copy入核心内存从而常驻内存；NT/2000上一样，不过要用上驱动或其他手续（本站有介绍）。
不用中断/调用门的话，你可在学FunLove：注册一后台进程（9x）；写一服务（nt/2000）。在nt/2000上，你也可在Explorer进程中创一远线程（运行自己的代码）.等等，方法n多

创一远线程（运行自己的代码）？CreateRemoteThread？只有2000行。98不行！

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

escape

驱动老牛

注册日期2002-02-01
最后登录2004-08-20
粉丝0
关注0
积分0分
威望0点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2002-04-22 16:58

9x上可用中断获取Ring0特权，再将自己copy入核心内存从而常驻内存；NT/2000上一样，不过要用上驱动或其他手续（本站有介绍）。
不用中断/调用门的话，你可在学FunLove：注册一后台进程（9x）；写一服务（nt/2000）。在nt/2000上，你也可在Explorer进程中创一远线程（运行自己的代码）.等等，方法n多

如何保酌核心内存中的程序可以

回复喜欢

pjf

驱动中牛

注册日期2001-07-08
最后登录2006-10-23
粉丝0
关注0
积分42分
威望4点
贡献值0点
好评度4点
原创分0分
专家分0分

加关注写私信

17楼^#

发布于：2002-04-22 16:59

引用：
--------------------------------------------------------------------------------
Of course.
很少的Win32病毒（CIH等）用到了中断
--------------------------------------------------------------------------------

faint！
那也没用到
它是hook了IFS
――――――――――――――――――――――――――――――――――――――――――――――――――

别老faint，CIH改了IDT表后调INT3算不算用？尽管这与常驻没直接联系，但它是关键的第一步。以后的VxdCall(INT 20h)倒可不算。

回复喜欢

VanCheer

驱动老牛

注册日期2002-02-21
最后登录2003-08-28
粉丝0
关注0
积分-20分
威望-10点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

18楼^#

发布于：2002-04-22 17:01

引用：
别老faint，CIH改了IDT表后调INT3算不算用？尽管这与常驻没直接联系，但它是关键的第一步。以后的VxdCall(INT 20h)倒可不算。

faint！（faint只是我的口头禅 :D）
你说算就算。
我的意思是现在几乎没有病毒象DOS时代那样挂接中断了

[img]http://www.driverdevelop.com/forum/upload/VanCheer/2003-03-21_mon.gif[/img][img]http://www.driverdevelop.com/forum/upload/VanCheer/2002-12-07_smallbaby.jpg[/img]

回复喜欢

pjf

驱动中牛

注册日期2001-07-08
最后登录2006-10-23
粉丝0
关注0
积分42分
威望4点
贡献值0点
好评度4点
原创分0分
专家分0分

加关注写私信

19楼^#

发布于：2002-04-22 17:03

发表于： 2002/4/22 - 16:55

引用：
--------------------------------------------------------------------------------
9x上可用中断获取Ring0特权，再将自己copy入核心内存从而常驻内存；NT/2000上一样，不过要用上驱动或其他手续（本站有介绍）。
不用中断/调用门的话，你可在学FunLove：注册一后台进程（9x）；写一服务（nt/2000）。在nt/2000上，你也可在Explorer进程中创一远线程（运行自己的代码）.等等，方法n多
--------------------------------------------------------------------------------

创一远线程（运行自己的代码）？CreateRemoteThread？只有2000行。98不行！

__________________________________________________________________

老兄你看清楚了，“在nt/2000上，你也可在Explorer进程中创一远线程（运行自己的代码）.”呵呵

回复喜欢

您需要登录后才可以回帖，登录或者注册

最新喜欢：