各位大牛对 uty 出的新 ARK 有何评价？

http://www.rootkit.com/vault/uty/NIAPAntiRootkitTools.rar
号称使用了无视一切 Hook 的“镜像系统”：
In these tools, we use some new tech called mirror system (pretty cool, we hope it worth the name ;p). We mirrored the kernel file, file system driver file, and it can do more. We think the effect is that there will be no more hook(code hook, not include data hook, like NDIS or registry hive hook, for now).

只是无视kernel / fsd inline hook/ssdt hook吧。。。
remap ntfs/fatfat, ntoskrnel , 然后add  SysetmService,等等~


对 disk级的无效
对 hal级无效
对XX，XXXX，以及XX1也无效

嘿嘿，嘿嘿~~
没有过我的pool hook
 

在某些字段被扫描到ntosXXX字样，于是直接bsod了~

\SystemRoot\system32\drivers\ntfs.sys
在这个sys加载的过程里出现了这个字样就已经把你的DriverEntry和谐掉~~

没有走到pool hook的扫描ntfs和fastfat特征...

没有随机设备名，连普通的占坑都过不去~还说啥，还是强大的Ghost厉害，Ghost一出一切病毒，木马，rootkit统统死光光~

引入表有KeServiceDescriptorTable
nvmini染毒环境下，驱动无法加载~~
不行啊~

引入表有KeAddSystemServiceTable被某病毒给拦截了~~~
只要还有引入表，就是不行的哦

使用了ExAllocatePoolWithTag
又被拦截了~~

pool hook是何物？拦截ExAllocatePool？分析调用堆栈，patch 驱动模块代码,是这样的吗？干脆hook   intel的mov指令算了，这个指令调用非常频繁，没执行一次mov，你可以检查一下谁执行的mov指令，然后就patch它。

bdfile.rar

类型：

售价：0

大小：5KB

下载：27次

描述：

[下载]

引用第9楼guaiguaiguan于2008-01-18 11:22发表的  :
pool hook是何物？拦截ExAllocatePool？分析调用堆栈，patch 驱动模块代码,是这样的吗？干脆hook   intel的mov指令算了，这个指令调用非常频繁，没执行一次mov，你可以检查一下谁执行的mov指令，然后就patch它。

别说新的东西，就是老V那个在CVC上发烂了的BDFILE都可以忽悠他。
BTW对于指令级别的HOOK ，一直没有好的方法，本来寄希望于VM 可就目前公布的细节来看还是没戏，等下代的安全CPU 出来再说吧 。

想法的确不算新，嘿嘿，N早前我还是菜鸟时就在老V的RK群里提过重加载FS Driver了吧~那时候大家都还没玩DISK~

引用第9楼guaiguaiguan于2008-01-18 11:22发表的  :
pool hook是何物？拦截ExAllocatePool？分析调用堆栈，patch 驱动模块代码,是这样的吗？干脆hook   intel的mov指令算了，这个指令调用非常频繁，没执行一次mov，你可以检查一下谁执行的mov指令，然后就patch它。

hook mov指令？能行吗？判断的时候肯定要用到n条指令，会不会影响系统效率？另外判断函数里如果也有mov指令，会不会带来重入？或者是在判断函数里使用push xxxx，pop reg的方式来代替mov指令？