|
阅读:1542回复:7
HOOK技术与驱动卸载讨论
大家讨论一下:如果驱动hook了系统的服务表,那么理论上就根本不存在安全的方法,可以动态卸载这个驱动.是这样的吗?
我个人认为就是这样的. |
|
|
|
沙发#
发布于:2005-03-30 13:55
在深入一点:既然动态卸载是不安全的,那么动态加载也是不安全的.
所以这样的驱动,启动类型就得 是2,不能未3,还得注意依赖 [编辑 - 3/30/05 by wywwwl] |
|
|
|
板凳#
发布于:2005-03-30 15:30
没看懂你什么意思??不过SERVICETABLE作为重要的数据结构来说,被你们随便HOOK,确实不安全.
所以在X86-64下就不好那么做了. 我测试了下XP64-1218版本,发现虽然可以使用KESERVICEDESCRIPTORTABLE,但其所指的不再是我们原来的指针数组了,也就是说你通过原来方法HOOK,根本 什么都HOOK不了...... |
|
|
|
地板#
发布于:2005-03-30 16:14
没看懂你什么意思??不过SERVICETABLE作为重要的数据结构来说,被你们随便HOOK,确实不安全. 看来微软下手了... |
|
|
|
地下室#
发布于:2005-03-31 09:16
我觉得不管是hook还是驱动,除非它自己自愿,否则强制卸载都是不安全的
|
|
|
|
5楼#
发布于:2005-03-31 12:27
本来想加点分刺激2位一下,结果还是:
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /usr/home/ddv.com/forum/givepoint.php on line 103 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/home/ddv.com/forum/givepoint.php on line 109 ! wowocock: \"SERVICETABLE作为重要的数据结构来说,被你们随便HOOK,确实不安全.\",如果不是动态加载,那么只要驱动没有问题,还是安全的. X86-64还没考虑,那是将来的事情了. |
|
|
|
6楼#
发布于:2005-03-31 15:19
这个问题就和以前DOS中的TSR挂中断一样,抢来抢去,都不知对方干了什么,动态装载和卸载都不安全,规规矩矩的驱动,静态装载和卸载是安全的,动态也谈不上安全
|
|
|
|
7楼#
发布于:2005-03-31 15:50
这个问题就和以前DOS中的TSR挂中断一样,抢来抢去,都不知对方干了什么,动态装载和卸载都不安全,规规矩矩的驱动,静态装载和卸载是安全的,动态也谈不上安全 对! |
|
|