|
阅读:2194回复:5
看来SSM和卡巴对用ZwSystemDebugContro函数进Ring0盯得不紧,升级升级!l
俺试了一试,用ZwSystemDebugControl进Ring0,看来效果要好一点点了!
|
|
|
|
沙发#
发布于:2007-06-29 20:59
XYZREG早说过了 BS放东西出来为害人间的。。。
|
|
|
|
板凳#
发布于:2007-06-30 00:18
使用SysDbgRead(Write)BusData,读写cmos的0Eh处,添加callgate,进R0,饶过CopyOnWrite
inject到kernel32空间,改写CreateProcessW中call CreateProcessInternalW处,做一些XXX判断及XXXX = = 在不少机器上这么搞都会有蓝屏情况的 |
|
|
|
地板#
发布于:2007-06-30 01:11
扔个IDB上来,主要看AddCallGate
利用CMOS读写物理内存貌似用的randnut的老代码~ |
|
|
|
地下室#
发布于:2007-06-30 01:31
看了下HalSetCmosData,原来如果SoltNumber=1,就会写74h~76h号端口
就是写 NVRAM(IBMRAM )/Second cmos(Compaq), 0074-0076 secondary CMOS (Compaq), NVRAM (IBM) access 0074 w secondary CMOS RAM (IBM NVRAM) index, low byte 0075 w secondary CMOS RAM (IBM NVRAM) index, high byte 0076 r/w secondary CMOS RAM (IBM NVRAM) data byte 所以能够使用这个办法读写物理内存~ |
|
|
|
5楼#
发布于:2007-07-01 13:49
1st:俺职业是一名小公务员,虽然不富裕也不至于饿饭,用不着写病毒来挣银子!
2nd:生成CallGate进Ring0的代码是2004年俺看了randnut的代码后写的,当时用的C代码,今天只是把它改成汇编而已。 3rd:用汇编编程序难免会有很多BUG,蓝屏是很正常的事! |
|