SDTrestore (Proof-of-Concept)

楼主^#

更多发布于：2007-02-09 21:07

//*********************************************************************************************
// SDTrestore (Proof-of-Concept)
// Version 0.1
// by SIG^2 G-TEC Lab
//
// Coded by Chew Keong TAN
//
// Permission is hereby granted, free of charge, to any person obtaining a
// copy of this software and associated documentation files (the
// "Software"), to deal in the Software without restriction, including
// without limitation the rights to use, copy, modify, merge, publish,
// distribute, and/or sell copies of the Software, and to permit persons
// to whom the Software is furnished to do so, provided that the above
// copyright notice(s) and this permission notice appear in all copies of
// the Software and that both the above copyright notice(s) and this
// permission notice appear in supporting documentation.
//
// THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS
// OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
// MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT
// OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR
// HOLDERS INCLUDED IN THIS NOTICE BE LIABLE FOR ANY CLAIM, OR ANY SPECIAL
// INDIRECT OR CONSEQUENTIAL DAMAGES, OR ANY DAMAGES WHATSOEVER RESULTING
// FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT,
// NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION
// WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
//
// This program needs to access \device\physicalmemory, so you must be
// running as Administrator when using this.
//
//*********************************************************************************************

附件名称/大小下载次数最后更新: SDTrestore.txt (30KB) 121 2007-02-09 21:11

喜欢1

最新喜欢：

ljmwor...

xicao 驱动牛犊注册日期2006-02-25 最后登录2017-07-29 粉丝0 关注0 积分11分威望131点贡献值0点好评度30点原创分1分专家分0分加关注写私信	沙发^# 发布于：2007-02-09 21:09 从www.rootkit.com找来的用来恢复SSDT，使用了\device\physicalmemory进入ring0，看来过不了卡巴了。。。
	回复(0) 喜欢(0)

xicao 驱动牛犊注册日期2006-02-25 最后登录2017-07-29 粉丝0 关注0 积分11分威望131点贡献值0点好评度30点原创分1分专家分0分加关注写私信	板凳^# 发布于：2007-02-09 21:09 代码太长了，不贴了。还是传附件好，这个是0.2版的代码
	附件名称/大小下载次数最后更新 SDTrestore.txt (34KB) 94 2007-02-09 21:14 回复(0) 喜欢(0)

xikug

驱动小牛

注册日期2001-09-25
最后登录2013-09-27
粉丝1
关注0
积分1001分
威望169点
贡献值0点
好评度168点
原创分1分
专家分0分

加关注写私信

地板^#

发布于：2007-02-09 21:25

恢复SSDT还是在驱动层做好。。。

http://www.debugman.com

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

地下室^#

发布于：2007-02-10 01:09

好古老的代码

驱动开发者呵呵

回复喜欢

xicao 驱动牛犊注册日期2006-02-25 最后登录2017-07-29 粉丝0 关注0 积分11分威望131点贡献值0点好评度30点原创分1分专家分0分加关注写私信	5楼^# 发布于：2007-02-11 17:13 求驱动恢复恢复SSDT的代码。。。。
	回复(0) 喜欢(0)

aliwy 驱动牛犊注册日期2006-11-24 最后登录2016-01-09 粉丝0 关注0 积分11分威望79点贡献值0点好评度32点原创分0分专家分0分加关注写私信	6楼^# 发布于：2007-05-05 23:33 这个东西好像不具通用性，部分机子上失效。
	回复(0) 喜欢(0)

zzq191

驱动中牛

注册日期2001-08-09
最后登录2018-05-29
粉丝17
关注0
积分1041分
威望716点
贡献值0点
好评度318点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2007-06-01 22:00

要过卡巴的先实现能不用注册表来加载驱动，再在驱动里恢复SSDT，网上使用ZwSetSystemInformation加载驱动的，不过我没有加载成功过，不知道这个是否和驱动的写法有关系，谁知道告诉一下方法

QQ:416331891，承接windows下应用和驱动的开发,雅虎通:zzq191, Email:zzq191@21cn.com

回复喜欢

dfsy0427 驱动牛犊注册日期2007-03-27 最后登录2007-11-14 粉丝0 关注0 积分70分威望8点贡献值0点好评度7点原创分0分专家分0分加关注写私信	8楼^# 发布于：2007-09-03 10:38 恢复后直接蓝屏装卡巴6.0 或7.0的机子式
	回复(0) 喜欢(0)

robar 驱动牛犊注册日期2007-06-27 最后登录2013-06-24 粉丝0 关注0 积分6分威望41点贡献值0点好评度16点原创分0分专家分0分加关注写私信	9楼^# 发布于：2007-09-03 14:28 在部分机器上失效应该是系统所采用的内核不一样，ntoskrnl.exe 或者 ntkrnlpa.exe等搞清楚后，重新编译下。卡巴下蓝屏，是因为卡巴在SSDT中自己多加了几个API（用IS可以看到），不要尝试还原这几个API。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册