|
20楼#
发布于:2007-02-13 13:24
也用WinPE,不过如果有双系统,一般情况下都是直接去启动另外一个操作系统删除驱动,特别是自己的驱动出了bug,导致安全模式也无法启动时。
WINPE是微软的吗?如果开源就好了,大家在上面可以自己自由DIY。 现在看来在操作系统下面反流氓、反root、反木马,由于自身难以实现操作系统的功能,只能调用系统函数,这些函数如果被hook,那么就需要反hook进行恢复,如果不反hook,就要拼启动顺序和退出顺序,似乎没有第2条道路。无论是hook也好,反hook罢,即便直接发送irp,也终究还是调用微软提供的API,纵总有七十二变,自始至终没有跳出微软(如来佛)的手掌心。 哪怕是借用BIOS中断直接读取磁盘物理扇区,修改扇区也好,不过这样的文章难得一觅。 |
|
|
21楼#
发布于:2007-02-13 13:57
离开windows操作系统编辑注册表的感觉。。。说实在的很美妙
 |
|
|
|
22楼#
发布于:2007-02-13 14:00
引用第20楼guaiguaiguan于2007-02-13 13:24发表的“”: 也用WinPE,不过如果有双系统,一般情况下都是直接去启动另外一个操作系统删除驱动,特别是自己的驱动出了bug,导致安全模式也无法启动时。 WINPE是微软的吗?如果开源就好了,大家在上面可以自己自由DIY。 现在看来在操作系统下面反流氓、反root、反木马,由于自身难以实现操作系统的功能,只能调用系统函数,这些函数如果被hook,那么就需要反hook进行恢复,如果不反hook,就要拼启动顺序和退出顺序,似乎没有第2条道路。无论是hook也好,反hook罢,即便直接发送irp,也终究还是调用微软提供的API,纵总有七十二变,自始至终没有跳出微软(如来佛)的手掌心。 哪怕是借用BIOS中断直接读取磁盘物理扇区,修改扇区也好,不过这样的文章难得一觅。 Winpe是windows的预启动环境,也就是最小化的windows...相当于win3.2时代的dos |
|
|
|
23楼#
发布于:2007-02-13 23:08
引用第12楼wowocock于2007-02-13 08:46发表的“”: 呵呵,不是还有20%么~ |
|
|
24楼#
发布于:2007-03-17 00:26
xikug
看到眼熟的人了,呵呵,高人阿 |
|
|
25楼#
发布于:2007-03-20 00:23
引用第12楼wowocock于2007-02-13 08:46发表的“”: 精准 |
|
|
26楼#
发布于:2007-09-26 14:01
ROOTKIT本身就有反U盘功能,完全可以禁用掉U盘,这个反rootkit方法不可取。否则那些杀毒厂商早就推出了,他们天天就研究这东西
|
|
上一页
下一页