首页>编程与逆向>PC安全编程>反流氓、反木马和rootkit>偶写的文件AntiRookit
回复
« 返回列表
1 2 下一页 »
Men like wind
Men like wind
驱动牛犊
驱动牛犊
  • 注册日期2003-03-07
  • 最后登录2010-06-24
  • 粉丝0
  • 关注0
  • 积分280分
  • 威望29点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
阅读:4621回复:24

偶写的文件AntiRookit

楼主#
更多 发布于:2007-10-29 14:42
测试了几个,好像没问题,有兴趣的兄弟看看能不能过它!
附件名称/大小 下载次数 最后更新
文件AntiRookit.rar (20KB)  293 2007-10-29 14:42
喜欢0
回复
poize
poize
驱动牛犊
驱动牛犊
  • 注册日期2005-08-17
  • 最后登录2013-09-13
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望32点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-10-29 14:58
牛,我看名字就在想,这ID怎么这么像风一般的男人啊,看了说明才知道,原来就是,佩服佩服

不知道干撒用的,不过好像比较占内存
回复(0) 喜欢(0)
Men like wind
Men like wind
驱动牛犊
驱动牛犊
  • 注册日期2003-03-07
  • 最后登录2010-06-24
  • 粉丝0
  • 关注0
  • 积分280分
  • 威望29点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-10-29 15:23
引用第1楼poize于2007-10-29 14:58发表的  :
牛,我看名字就在想,这ID怎么这么像风一般的男人啊,看了说明才知道,原来就是,佩服佩服

不知道干撒用的,不过好像比较占内存

晕,检查有没有被Rookit的文件的啊,为了追求速度,可能是挺耗内存的,没怎么优化
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地板#
发布于:2007-10-29 16:19
...好东西收藏
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
zjjmj2002
zjjmj2002
驱动小牛
驱动小牛
  • 注册日期2007-04-05
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分15分
  • 威望321点
  • 贡献值0点
  • 好评度224点
  • 原创分1分
  • 专家分0分
写私信
地下室#
发布于:2007-10-29 16:27
自己分析硬盘扇区?风般男人果然是数据方面的专家。
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
5楼#
发布于:2007-10-29 17:01
RING3的,太好过了。。。。而且不能在XX上用~
驱动开发者 呵呵
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
6楼#
发布于:2007-10-29 17:03
不能扫到数据流。。。只支持NTFS。。。每次选一个扫描位置都要点4次确定。。。汗
驱动开发者 呵呵
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
7楼#
发布于:2007-10-29 17:04
用的PHYSICALDRIVE0~这样比较容易被XX~  还是用XXXXX比较爽
驱动开发者 呵呵
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
8楼#
发布于:2007-10-29 17:07
AK922应该能过,unreal也可以~~ 不用出手了~
驱动开发者 呵呵
回复(0) 喜欢(0)
poize
poize
驱动牛犊
驱动牛犊
  • 注册日期2005-08-17
  • 最后登录2013-09-13
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望32点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-10-29 17:20
XXXXXX
回复(0) 喜欢(0)
dge
dge
驱动牛犊
驱动牛犊
  • 注册日期2006-05-01
  • 最后登录2009-05-21
  • 粉丝0
  • 关注0
  • 积分410分
  • 威望45点
  • 贡献值0点
  • 好评度44点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2007-10-29 18:08
支持
相信自己
回复(0) 喜欢(0)
kcrazy
kcrazy
驱动牛犊
驱动牛犊
  • 注册日期2006-02-17
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分252分
  • 威望37点
  • 贡献值1点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2007-10-29 19:58
支持风般
回复(0) 喜欢(0)
bizhan123
bizhan123
驱动小牛
驱动小牛
  • 注册日期2006-12-26
  • 最后登录2012-03-19
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望166点
  • 贡献值0点
  • 好评度125点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2007-10-29 20:55
没什么特点
实用信息:www.infozobo.com
回复(0) 喜欢(0)
Men like wind
Men like wind
驱动牛犊
驱动牛犊
  • 注册日期2003-03-07
  • 最后登录2010-06-24
  • 粉丝0
  • 关注0
  • 积分280分
  • 威望29点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2007-10-29 20:56
非NTFS、流遍历、N种猥琐的读盘方法, 这些代码都有写过,这个demo也是一时兴起,放出来和大家讨论一些想法而已,我孤陋寡闻,不知道还有谁这么做过。如果真要完善,肯定不会在这放出来的。
回复(0) 喜欢(0)
z.b.Azy
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
写私信
14楼#
发布于:2007-10-30 21:57
没过俺的beta2版, 只试了这个, 以前放的没试~
附件名称/大小 下载次数 最后更新
AK922beta.rar (4KB)  40 2007-10-30 21:57
回复(0) 喜欢(0)
Men like wind
Men like wind
驱动牛犊
驱动牛犊
  • 注册日期2003-03-07
  • 最后登录2010-06-24
  • 粉丝0
  • 关注0
  • 积分280分
  • 威望29点
  • 贡献值0点
  • 好评度29点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2007-10-31 10:38
引用第14楼z.b.Azy于2007-10-30 21:57发表的  :
没过俺的beta2版, 只试了这个, 以前放的没试~

嗯,如果用了流、做了磁盘的HOOK,是过不了!
必须加上流扫描,和发irp的自己读盘,不过仔细想想要过我的还是能过,呵呵,irp也可以hook嘛,所以某君说得好,还是windows pe牛
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
16楼#
发布于:2007-10-31 13:04
还是XX FS结构隐藏比较好~让自己解析的统统崩溃去
驱动开发者 呵呵
回复(0) 喜欢(0)
qq_10652
qq_10652
驱动牛犊
驱动牛犊
  • 注册日期2004-11-11
  • 最后登录2008-07-04
  • 粉丝0
  • 关注0
  • 积分560分
  • 威望57点
  • 贡献值0点
  • 好评度57点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2007-10-31 15:33
引用第14楼z.b.Azy于2007-10-30 21:57发表的  :
没过俺的beta2版, 只试了这个, 以前放的没试~



INVALID_WORK_QUEUE_ITEM (96)
This message occurs when KeRemoveQueue removes a queue entry whose flink
or blink field is null.  This is almost always called by code misusing
worker thread work items, but any queue misuse can cause this.  The rule
is that an entry on a queue may only be inserted on the list once. When an
item is removed from a queue, it's flink field is set to NULL. This bugcheck
occurs when remove queue attempts to remove an entry, but the flink or blink
field is NULL. In order to debug this problem, you need to know the queue being
referenced.
In an attempt to help identify the guilty driver, this bugcheck assumes the
queue is a worker queue (ExWorkerQueue) and prints the worker routine as
parameter 4 below.
Arguments:
Arg1: 80e82838, The address of the queue entry whose flink/blink field is NULL
Arg2: 8055b1fc, The address of the queue being references. Usually this is one
    of the ExWorkerQueues.
Arg3: 8055b1c0, The base address of the ExWorkerQueue array. This will help determine
    if the queue in question is an ExWorkerQueue and if so, the offset from
    this parameter will isolate the queue.
Arg4: fc9c16fc, If this is an ExWorkerQueue (which it usually is), this is the address
    of the worker routine that would have been called if the work item was
    valid. This can be used to isolate the driver that is misusing the work
    queue.

Debugging Details:
------------------






WORKER_ROUTINE:
AK922+6fc
fc9c16fc 6a08            push    8

FAULTING_IP:
AK922+6fc
fc9c16fc 6a08            push    8

WORK_ITEM:  80e82838

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0x96

PROCESS_NAME:  System

LAST_CONTROL_TRANSFER:  from 804f880d to 80527da8

STACK_TEXT:  
fc8fa8e0 804f880d 00000003 fc8fac3c 00000000 nt!RtlpBreakWithStatusInstruction
fc8fa92c 804f93fa 00000003 80ea0438 80ea03c8 nt!KiBugCheckDebugBreak+0x19
fc8fad0c 804f9925 00000096 80e82838 8055b1fc nt!KeBugCheck2+0x574
fc8fad2c 804fbfeb 00000096 80e82838 8055b1fc nt!KeBugCheckEx+0x1b
fc8fad6c 80534da6 00000001 3b000001 00000000 nt!KeRemoveQueue+0x2e7
fc8fadac 805c5a28 80e82838 00000000 00000000 nt!ExpWorkerThread+0xd6
fc8faddc 80541fa2 80534cd0 00000001 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


STACK_COMMAND:  .bugcheck ; kb

FOLLOWUP_IP:
AK922+6fc
fc9c16fc 6a08            push    8

SYMBOL_NAME:  AK922+6fc

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: AK922

IMAGE_NAME:  AK922.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4726faa9

FAILURE_BUCKET_ID:  0x96_AK922+6fc

BUCKET_ID:  0x96_AK922+6fc

Followup: MachineOwner
---------
回复(0) 喜欢(0)
zzzevazzz
zzzevazzz
驱动小牛
驱动小牛
  • 注册日期2002-12-27
  • 最后登录2020-06-29
  • 粉丝0
  • 关注0
  • 积分1008分
  • 威望242点
  • 贡献值0点
  • 好评度170点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
18楼#
发布于:2007-10-31 23:29
蓝蓝的屏幕白字冒,白字说明错误号……
[b][url]http://hi.baidu.com/zzzevazzz[/url][/b]
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
19楼#
发布于:2007-11-04 05:25
Rookit这是啥?Rook  it ,欺骗它?
驱动开发者 呵呵
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部