zjjmj2002

驱动小牛

注册日期2007-04-05
最后登录2016-01-09
粉丝0
关注0
积分15分
威望321点
贡献值0点
好评度224点
原创分1分
专家分0分

加关注写私信

阅读：7402回复：45

俺也编了个安全方面的小工具 MinSafe

楼主^#

更多发布于：2007-11-16 13:44

逐步完善中。
U盘未插入状态下所创建的进程就不警告了，免得让人心烦。
新增一个病毒扫描功能和一个病毒库，就是xyzreg的hive注册表那个程序，
因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧，做起试验来比较安全，目前基本上能够应付一些普通壳。
可惜俺没得啥子病毒样本，而且俺又很懒，以后俺有空的话会慢慢升级俺的病毒扫描函数，陆续添加病毒库的。 MinSafe.rar

纯属无聊之作，呵呵。

HOOK了ZwLoadDriver,ZwOpenSection和ZwCreateProcess等几个函数来
拦截驱动加载，物理内存对象和创建进程，特别对U盘插入后运行的进程加以警告。

俺本来以为编写HOOK SSDT这种东东应该比较简单，结果还花了俺好几天时间哩，这次没有用汇编了哈，用的C了，xixi。

喜欢0

sudami 驱动牛犊注册日期2007-03-01 最后登录2010-03-05 粉丝0 关注0 积分4分威望30点贡献值0点好评度16点原创分0分专家分0分加关注写私信	沙发^# 发布于：2007-11-16 14:55 哇，又碰到了。 MS又加了2个HOOK，防止进RING0的啊？
	回复(0) 喜欢(0)

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	板凳^# 发布于：2007-11-16 15:47 嗯，本来不想发在这里的，因为这个软件是给不懂电脑的人用的。发专业论坛里没什么意思。
	回复(0) 喜欢(0)

sudami 驱动牛犊注册日期2007-03-01 最后登录2010-03-05 粉丝0 关注0 积分4分威望30点贡献值0点好评度16点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-11-16 16:33 公务员也这么牛啊。学习~
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

地下室^#

发布于：2007-11-16 16:56

发代码

驱动开发者呵呵

回复喜欢

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	5楼^# 发布于：2007-11-16 17:52 还不够完善，等俺升级做完善后才发代码，Hehe。
	回复(0) 喜欢(0)

cicicici 驱动牛犊注册日期2007-08-03 最后登录2010-03-08 粉丝0 关注0 积分60分威望7点贡献值0点好评度6点原创分0分专家分0分加关注写私信	6楼^# 发布于：2007-11-16 20:08
	回复(0) 喜欢(0)

cicicici 驱动牛犊注册日期2007-08-03 最后登录2010-03-08 粉丝0 关注0 积分60分威望7点贡献值0点好评度6点原创分0分专家分0分加关注写私信	7楼^# 发布于：2007-11-16 20:09 天蓝蓝地蓝蓝~~~
	回复(0) 喜欢(0)

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

8楼^#

发布于：2007-11-17 07:46

一句话：发代码～
ida看这么小的文件有点对不起观众～

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

poize 驱动牛犊注册日期2005-08-17 最后登录2013-09-13 粉丝0 关注0 积分2分威望32点贡献值0点好评度29点原创分0分专家分0分加关注写私信	9楼^# 发布于：2007-11-17 19:40 呵呵，支持要代码
	回复(0) 喜欢(0)

sudami 驱动牛犊注册日期2007-03-01 最后登录2010-03-05 粉丝0 关注0 积分4分威望30点贡献值0点好评度16点原创分0分专家分0分加关注写私信	10楼^# 发布于：2007-11-17 19:53 我也要啊~~
	回复(0) 喜欢(0)

codez 驱动牛犊注册日期2005-06-20 最后登录2016-01-09 粉丝0 关注0 积分7分威望73点贡献值0点好评度49点原创分0分专家分0分加关注写私信	11楼^# 发布于：2007-11-17 22:25 一直想看驱动阻拦和 ring3 程序交互的代码，这个正好可以学习一下。嘿嘿。问一下，寻找 EPROCESS 中 pid offset 的那个代码，结果应该只会返回: -1 或者有效的偏移大小。可是为什么调用函数还要和 0x200 作比较？就是位于两个 DbgPrint 之后的那个函数。笔误？
	回复(0) 喜欢(0)

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	12楼^# 发布于：2007-11-19 09:50 Pid小于200的进程不敢惹。
	回复(0) 喜欢(0)

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

13楼^#

发布于：2007-11-19 09:56

小于0x200也应该要md5验证～
做个简单的特征库～

zjjmj2002在哪里上班啊～很闲啊～

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

zjjmj2002 驱动小牛注册日期2007-04-05 最后登录2016-01-09 粉丝0 关注0 积分15分威望321点贡献值0点好评度224点原创分1分专家分0分加关注写私信	14楼^# 发布于：2007-11-19 10:11 四川省某山区贫困县的小公务员，闲什么闲，忙死了，星期六都在加班。
	回复(0) 喜欢(0)

z.b.Azy 驱动牛犊注册日期2006-03-11 最后登录2013-04-29 粉丝0 关注0 积分263分威望95点贡献值0点好评度91点原创分2分专家分0分加关注写私信	15楼^# 发布于：2007-11-19 11:16 "四川省某山区贫困县的小公务员，闲什么闲，忙死了，星期六都在加班。" 强悍~
	回复(0) 喜欢(0)

diyhack

驱动牛犊

注册日期2007-03-30
最后登录2014-08-26
粉丝0
关注0
积分8分
威望27点
贡献值0点
好评度10点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2007-11-19 11:19

人家 x-star 后来者都开源了

你动作太慢了

通往Ring0

回复喜欢

x-star 驱动小牛注册日期2007-04-26 最后登录2018-11-17 粉丝0 关注0 积分65分威望664点贡献值1点好评度39点原创分1分专家分1分加关注写私信	17楼^# 发布于：2007-11-20 17:39 强烈要求楼主放代码
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	18楼^# 发布于：2007-11-20 18:15 ZJ大牛再现.
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	19楼^# 发布于：2007-11-20 18:17 期待代码啊.
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

俺也编了个安全方面的小工具 MinSafe

最新喜欢：