|
阅读:2569回复:4
加载rootkit的问题
初学驱动,有很多地方还不明白,请各位朋友指教。
加载 rootkit 通常的方法是 ZwSetSystemInformation 和 SCM 吧, 这两种方法利弊是什么呢? 都说卡巴主动防御对加载驱动监控很严, 为什么用 SCM 加载时卡巴没有任何反应(卡巴 6.0.2.621,主动防御全开)? rootkit 用上面两种方法成功加载后, 是不是就是在 ring0 工作了? |
|
|
沙发#
发布于:2007-06-30 10:24
zwsetxxxx 2003 sp1,vista下不能用,而且有些限制,比如不能建device
scm的,控制服务有一些诡异问题,不方便 卡巴的注册表开了肯定就报 它只管写SCM的注册表,不管启动驱动服务 |
|
|
|
板凳#
发布于:2007-06-30 10:33
感谢楼上的朋友。
既然这两种方法都有问题, 那用什么方法才是正确的? 我卡巴主动防御的所有模块都开启了, 用 SCM 加载时确实没报。 “它只管写SCM的注册表,不管启动驱动服务” 你是指重启电脑后驱动不会运行吗? |
|
|
地板#
发布于:2007-06-30 13:43
开了注册表监控的话,写注册表肯定会报,除非你的注册表已存在了,你试试其他用SCM的软件也会发现报,比如DbgView,Filemon等等
SCM还算不错吧,呵呵 |
|
|
|
地下室#
发布于:2007-06-30 14:56
谢谢啊~~
rootkit 用上面两种方法成功加载后, 是不是就是在 ring0 工作了? |
|