阅读:7263回复:27
更彻底的文件隐藏,放出一个RK -- AK922.SYS
该rk样本我只把文件隐藏的部分拿出来了,仅做为技术交流使用,驱动中绝对不含有恶意代码,该驱动只是隐藏它自己的文件而已。由于水平有限,可能有bug。
|
|
|
沙发#
发布于:2007-05-19 15:28
啥样子的隐藏?
|
|
|
板凳#
发布于:2007-05-19 22:33
hook 了 IofComXXXX.....
FSD上隐藏点,,,DISK层又隐藏了... IS, DS, RKU全过了~~~~~~~ |
|
地板#
发布于:2007-05-19 22:49
winhex, rkrevealer等也行。当然这个方案没有某些xx底层。
|
|
地下室#
发布于:2007-05-20 18:40
又是被大家讨论XX了的。。。
对比看来还是老毛子有创意精神啊 |
|
|
5楼#
发布于:2007-05-21 15:53
没有代码,那哪行啊
|
|
|
6楼#
发布于:2007-05-22 07:13
楼主是在考大家反汇编功力,多学习哈:)
|
|
|
7楼#
发布于:2007-05-22 19:24
没做任何保护的东西估计也激不起高手们的兴趣~
|
|
8楼#
发布于:2007-05-23 10:22
|
|
9楼#
发布于:2007-05-24 19:34
LZ也没有看短消息的习惯么
|
|
10楼#
发布于:2007-05-24 22:37
uty, 现在我已经绕过了你的FileExposure了....
|
|
11楼#
发布于:2007-05-24 23:07
嘿嘿 我还有个读io 端口的,不过目前只能用在ide硬盘上,就不拿出来了,希望能讨论下怎样过读io 端口的
|
|
12楼#
发布于:2007-05-25 10:31
引用第11楼uuuty于2007-05-24 23:07发表的 : 就算IDE支持SATA不? 不会只是读读1f*/17*端口吧,我这都没这样的老机器了。 |
|
13楼#
发布于:2007-05-28 17:03
路过。。。
|
|
|
14楼#
发布于:2007-05-28 18:00
呵呵,anti有意思,,,
学习 |
|
15楼#
发布于:2007-05-30 10:36
好歹还是该给点核心代码噻。
这样做太不厚道了嘛。。。。 |
|
16楼#
发布于:2007-05-30 11:34
我也是这么想,他这玩意基本上是照着card搞得~
|
|
|
17楼#
发布于:2007-05-30 17:56
前段时间看到一个IofCompleteRequest的实现代码~Card的方法无效了
|
|
|
18楼#
发布于:2007-06-01 13:33
采用这种方法是由于刚开始要过is, is不许你用FSFD, FSD HOOK, IofCallDriver HOOK...想来想去就自然想到这个方法了(其实也不难想到), 所以我根本没有抄袭card的想法, 后来才看到他那个帖子的.关于code ,有必要放么?
|
|
19楼#
发布于:2007-06-01 13:49
引用第17楼WQXNETQIQI于2007-05-30 17:56发表的 : FSD自己调用iofCXXX的说,不是AntiRootkit的检查工具调用的,所以基本上还是有效的,目前 对付card的方法就是检查iofCXXX的hook,然后恢复之~ 我没用ida看,只是根据效果猜测对付磁盘的部分是对READ的irp做处理的吧~ 没测试scsi pass的irp来读磁盘列文件的Checker~~ |
|
|
上一页
下一页