阅读:7399回复:45
俺也编了个安全方面的小工具 MinSafe
逐步完善中。
U盘未插入状态下所创建的进程就不警告了,免得让人心烦。 新增一个病毒扫描功能和一个病毒库,就是xyzreg的hive注册表那个程序, 因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧,做起试验来比较安全,目前基本上能够应付一些普通壳。 可惜俺没得啥子病毒样本,而且俺又很懒,以后俺有空的话会慢慢升级俺的病毒扫描函数,陆续添加病毒库的。 MinSafe.rar 纯属无聊之作,呵呵。 HOOK了ZwLoadDriver,ZwOpenSection和ZwCreateProcess等几个函数来 拦截驱动加载,物理内存对象和创建进程,特别对U盘插入后运行的进程加以警告。 俺本来以为编写HOOK SSDT这种东东应该比较简单,结果还花了俺好几天时间哩,这次没有用汇编了哈,用的C了,xixi。 |
|
沙发#
发布于:2007-11-16 14:55
哇,又碰到了。
MS又加了2个HOOK,防止进RING0的啊? |
|
板凳#
发布于:2007-11-16 15:47
嗯,本来不想发在这里的,因为这个软件是给不懂电脑的人用的。
发专业论坛里没什么意思。 |
|
地板#
发布于:2007-11-16 16:33
公务员也这么牛啊。
学习~ |
|
地下室#
发布于:2007-11-16 16:56
发代码
|
|
|
5楼#
发布于:2007-11-16 17:52
还不够完善,等俺升级做完善后才发代码,Hehe。
|
|
6楼#
发布于:2007-11-16 20:08
|
|
7楼#
发布于:2007-11-16 20:09
天蓝蓝 地蓝蓝~~~
|
|
8楼#
发布于:2007-11-17 07:46
一句话:发代码~
ida看这么小的文件有点对不起观众~ |
|
|
9楼#
发布于:2007-11-17 19:40
呵呵,支持要代码
|
|
10楼#
发布于:2007-11-17 19:53
我也要啊~~
|
|
11楼#
发布于:2007-11-17 22:25
一直想看驱动阻拦和 ring3 程序交互的代码,这个正好可以学习一下。嘿嘿。
问一下,寻找 EPROCESS 中 pid offset 的那个代码,结果应该只会返回: -1 或者有效的偏移大小。 可是为什么调用函数还要和 0x200 作比较?就是位于两个 DbgPrint 之后的那个函数。 笔误? |
|
12楼#
发布于:2007-11-19 09:50
Pid小于200的进程不敢惹。
|
|
13楼#
发布于:2007-11-19 09:56
小于0x200也应该要md5验证~
做个简单的特征库~ zjjmj2002在哪里上班啊~很闲啊~ |
|
|
14楼#
发布于:2007-11-19 10:11
四川省某山区贫困县的小公务员,闲什么闲,忙死了,星期六都在加班。
|
|
15楼#
发布于:2007-11-19 11:16
"四川省某山区贫困县的小公务员,闲什么闲,忙死了,星期六都在加班。"
强悍~ |
|
16楼#
发布于:2007-11-19 11:19
人家 x-star 后来者都开源了
你动作太慢了 |
|
|
17楼#
发布于:2007-11-20 17:39
强烈要求楼主放代码
|
|
驱动小牛
|
18楼#
发布于:2007-11-20 18:15
ZJ大牛再现.
|
驱动小牛
|
19楼#
发布于:2007-11-20 18:17
期待代码啊.
|
上一页
下一页